GDPR : La fin des contenus protégés ?

Alors que le GDPR entre en vigueur, de nombreux spécialistes du marketing s’efforcent d’aligner leurs stratégies de marketing en ligne sur le règlement. Malheureusement, comme la plupart des règlements, de nombreuses exigences sont confuses ou ambiguës ; l’une d’entre elles concerne le traitement des visiteurs qui doivent fournir leurs coordonnées pour avoir accès à un contenu à accès restreint (gated), tel que des livres blancs et des recherches.

QUE DIT LE RÈGLEMENT ?

L’article 7 du règlement est très clair en ce qui concerne la collecte d’informations personnelles sur les résidents de l’UE : Le consentement doit être clairement donné pour le traitement des données à caractère personnel, la personne concernée doit être informée de la manière dont les informations seront utilisées et elle doit avoir la possibilité de retirer son consentement à tout moment.

Le quatrième paragraphe de l’article 7 va encore plus loin :

Pour déterminer si le consentement est donné librement, il convient de tenir le plus grand compte du fait que, entre autres, l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution de ce contrat.

Le point essentiel de ce paragraphe (et celui qui inquiète le plus les spécialistes du marketing) est que des services ne peuvent être fournis à condition que des données à caractère personnel soient communiquées si ces données « ne sont pas nécessaires à l’exécution de ce contrat [or service] ».

LE CONTENU PROTÉGÉ PEUT-IL VRAIMENT ÊTRE CONSIDÉRÉ COMME UN « SERVICE » ?

Jusqu’à récemment, l’article 7 faisait l’objet de nombreuses interprétations différentes. Le contenu « quid pro quo » ne constitue pas nécessairement un contrat ou un service ; beaucoup considèrent qu’il s’agit simplement d’un échange en nature et que les visiteurs, s’ils sont clairement informés de l’intention de collecter des données, peuvent choisir de ne pas télécharger le contenu.

Cependant, le groupe de travail « Article 29 » a publié des orientations révisées en avril 2018 qui, bien qu’elles ne traitent pas spécifiquement du contenu à accès limité (et ne sont pas encore tout à fait claires sur ce qui constitue un « service »), apportent un éclairage supplémentaire sur le sujet. Plusieurs déclarations, bien qu’elles ne concluent pas individuellement sur la question, brossent collectivement un tableau clair de l’intention du règlement :

La finalité du traitement des données à caractère personnel [should not be] n’est ni déguisée ni liée à la fourniture d’un contrat ou d’un service pour lequel ces données à caractère personnel ne sont pas nécessaires.
Même si le traitement des données à caractère personnel est fondé sur le consentement de la personne concernée, cela ne légitimerait pas la collecte de données qui ne sont pas nécessaires au regard d’une finalité précise du traitement et qui serait fondamentalement déloyale. Tout élément de pression ou d’influence inapproprié sur la personne concernée (qui peut se manifester de nombreuses manières différentes) qui empêche une personne concernée d’exercer son libre arbitre rendra le consentement invalide.
Le responsable du traitement doit démontrer qu’il est possible de refuser ou de retirer le consentement sans préjudice. Par exemple, le responsable du traitement doit prouver que le retrait du consentement n’entraîne pas de coûts pour la personne concernée et qu’il n’y a donc pas de désavantage évident pour ceux qui retirent leur consentement.

Le groupe de travail va même jusqu’à fournir plusieurs exemples de scénarios. Bien qu’aucun d’entre eux ne traite spécifiquement du contenu à accès limité, le premier est le plus applicable :

« Une application mobile de retouche photo demande à ses utilisateurs d’activer leur localisation GPS pour l’utilisation de ses services. L’application indique également à ses utilisateurs qu’elle utilisera les données collectées à des fins de publicité comportementale. Ni la géolocalisation ni la publicité comportementale en ligne ne sont nécessaires à la fourniture du service de retouche photo et vont au-delà de la fourniture du service de base. Étant donné que les utilisateurs ne peuvent pas utiliser l’application sans consentir à ces finalités, le consentement ne peut pas être considéré comme étant donné librement ».

SI NOUS LEUR DONNONS LE CHOIX, POURQUOI CELA IMPORTE-T-IL ?

En supposant que le fournisseur du contenu protégé ait été totalement transparent quant à l’objectif de la collecte des informations de la personne concernée et à l’utilisation prévue de ces données, l’utilisation du contenu protégé se résume en fait à quelques questions clés :

Quel est le service fourni ?
La collecte de données à caractère personnel est-elle nécessaire pour fournir ce service ?
Qu’est-ce qu’une « pression inappropriée » ?
La personne concernée subira-t-elle un préjudice si elle ne fournit pas ses données à caractère personnel (en d’autres termes, cela serait-il « fondamentalement injuste ») ?
La personne concernée subira-t-elle un préjudice si elle retire son consentement après avoir fourni ses données à caractère personnel ?

À première vue, le service fourni semble évident : le produit est un service d’orientation et de recherche significatif et exclusif. S’il s’agit bien du service, la collecte de données à caractère personnel n’est certainement pas nécessaire pour fournir ce service. Si le fournisseur estime que le contenu a de la valeur, il peut faire payer le service. Toutefois, ce n’est pas la même chose que de demander les données personnelles des résidents de l’UE qui sont protégées par le GDPR. En outre, si la personne concernée ne sera pas lésée si elle décide de retirer son consentement à l’avenir (elle aura déjà bénéficié du service), elle peut être lésée dans un premier temps si elle décide de ne pas fournir ses informations et de télécharger le contenu, en particulier si le contenu contient des informations pertinentes qui pourraient être utilisées par un concurrent si ce dernier décidait de fournir ses informations.

D’un autre côté, on pourrait également faire valoir que le véritable service fourni en échange des coordonnées de la personne concernée n’est pas le contenu réservé, mais plutôt le contact de suivi ou l’abonnement à d’autres contenus (tels que des lettres d’information ou des articles de blog). Dans ce cas, le GDPR considérerait probablement le contenu à prix réduit comme une simple ruse pour convaincre la personne concernée de fournir ses informations. Dans ce contexte, une « pression inappropriée » est exercée sur la personne concernée pour la contraindre à se soumettre à la collecte de données.

Dans les deux cas, la collecte des informations personnelles d’une personne concernée est contraire à l’esprit du règlement. Pour déterminer si les informations personnelles de la personne concernée ont été « librement communiquées », la question clé est de savoir si elle les aurait communiquées si elle ne s’était pas sentie obligée de le faire pour obtenir l’accès au contenu. Même si ce sujet continuera d’évoluer au fil du temps et que les décisions juridiques ultérieures apporteront des éclaircissements supplémentaires, le consensus des informations disponibles est que le contenu ne peut pas être fourni sous la seule condition que les personnes concernées fournissent des informations personnelles qui sont protégées par le GDPR et qui ne sont pas nécessaires à l’exécution du service.

EST-CE VRAIMENT LA FIN DU CONTENU PROTÉGÉ ?

Pour les entreprises qui n’opèrent pas dans l’UE ou qui ne font pas la promotion de biens ou de services auprès de résidents de l’UE, le contenu à accès limité peut toujours être utilisé comme stratégie de marketing. Il en va de même si les résidents de l’UE accèdent à votre site mais ne sont pas directement ciblés (par exemple, vous ne commercialisez pas de services en Europe mais votre site est accessible depuis l’UE). Pour les entreprises soumises aux règles et réglementations du GDPR, il n’y a que deux options : Continuer comme si de rien n’était ou modifier l’approche du contenu à accès limité.

Pour de nombreuses entreprises, le contenu protégé est une source importante de pistes de vente et est essentiel à leur modèle d’entreprise. L’abandon pur et simple de ce modèle n’est peut-être pas une option viable. Dans ce cas, elles se posent probablement les questions suivantes (et y répondent) :

Est-il probable qu’un résident de l’UE dépose une plainte simplement parce que nous lui avons demandé son adresse électronique ? Cela ne semble pas très plausible.
L’UE est-elle même équipée pour faire appliquer le règlement à ce stade ? Nous ne pouvons pas imaginer que nous soyons en tête de liste de leurs priorités.
Même si quelqu’un nous dénonçait, une infraction aussi mineure ne donnerait-elle pas lieu à un simple avertissement et à un plan d’action correctif ? Ils ne vont pas nous infliger une amende représentant 4 % de nos revenus pour une adresse électronique.

Pour les entreprises qui tolèrent les risques, toutes ces questions sont valables. Et au niveau de la personne concernée, le contenu verrouillé peut ne pas sembler représenter un grand risque. Toutefois, si une entreprise était victime d’une violation de données et que toutes ses coordonnées marketing étaient divulguées, et qu’il s’avérait que ces informations avaient été principalement collectées par le biais de formulaires à contenu protégé, les pénalités et les amendes pourraient rapidement grimper en flèche. La question la plus importante est donc de savoir ce que cela vaut pour vous.

Si votre entreprise décide de se conformer à l’esprit du règlement, les méthodes de sollicitation des informations devront être modifiées. Si les spécialistes du marketing peuvent toujours fournir du contenu et demander des informations aux personnes concernées, les conditions suivantes doivent être remplies :

Les personnes concernées doivent être informées qu’elles ne sont pas tenues de fournir leurs informations personnelles pour recevoir le contenu.
Les personnes concernées doivent être informées des raisons de la collecte des données, de l’utilisation qui en sera faite et de leur droit de retirer leur consentement à tout moment.

Même si la plupart des spécialistes du marketing constateront que le nombre de personnes concernées disposées à fournir volontairement leurs informations personnelles diminuera lorsqu’elles ne seront pas obligées de le faire, ils pourront également constater que celles qui choisissent de fournir leurs informations sont hautement qualifiées et peuvent conduire à un marketing plus ciblé. En outre, il incombe au fournisseur de contenu de fournir des informations de haute qualité, opportunes et pertinentes. Si le contenu démontre sa valeur, les visiteurs reviendront pour en savoir plus et engageront probablement votre entreprise à fournir des produits ou des services à un moment ou à un autre.

NOTE ADDITIONNELLE : CONSENTEMENT DE LA PERSONNE CONCERNÉE DONNÉ AVANT LE GDPR

Un autre sujet de préoccupation pour de nombreux spécialistes du marketing est la gestion des personnes concernées qui ont déjà donné leur consentement pour un traitement avant le GDPR. Les nouvelles orientations abordent également ce sujet :

Les responsables du traitement qui traitent actuellement des données sur la base du consentement conformément à la législation nationale sur la protection des données ne sont pas automatiquement tenus d’actualiser complètement toutes les relations de consentement existantes avec les personnes concernées en vue de l’entrée en vigueur du GDPR. Le consentement obtenu jusqu’à présent reste valable dans la mesure où il est conforme aux conditions fixées par le GDPR.

Voilà, c’est fait. Si votre entreprise se conforme au règlement GDPR, il n’est pas nécessaire de procéder à une actualisation complète de l’autorisation de traitement des personnes concernées. Cela dit, il ne serait pas inutile de démontrer votre adhésion à l’esprit du règlement en informant ces personnes concernées que vous disposez de leurs données, ainsi que de leurs droits en vertu du nouveau règlement.

Si vous souhaitez discuter de la conformité au GDPR ou si vous avez des questions relatives à cette nouvelle réglementation, Avalution peut vous aider. N’hésitez pas à nous contacter dès aujourd’hui pour en savoir plus.

QUE DIT LE RÈGLEMENT ?

LE CONTENU PROTÉGÉ PEUT-IL VRAIMENT ÊTRE CONSIDÉRÉ COMME UN « SERVICE » ?

SI NOUS LEUR DONNONS LE CHOIX, POURQUOI CELA IMPORTE-T-IL ?

EST-CE VRAIMENT LA FIN DU CONTENU PROTÉGÉ ?

NOTE ADDITIONNELLE : CONSENTEMENT DE LA PERSONNE CONCERNÉE DONNÉ AVANT LE GDPR

Rejoignez plus de 200 000 de vos pairs !

Ready to Talk?

Work with us.

Connect with us.

GDPR : La fin des contenus protégés ?

QUE DIT LE RÈGLEMENT ?

LE CONTENU PROTÉGÉ PEUT-IL VRAIMENT ÊTRE CONSIDÉRÉ COMME UN « SERVICE » ?

SI NOUS LEUR DONNONS LE CHOIX, POURQUOI CELA IMPORTE-T-IL ?

EST-CE VRAIMENT LA FIN DU CONTENU PROTÉGÉ ?

NOTE ADDITIONNELLE : CONSENTEMENT DE LA PERSONNE CONCERNÉE DONNÉ AVANT LE GDPR

Share This, Choose Your Platform!

Related Posts

Lancez la conversation : le pouvoir de connecter le risque et la résilience

Des silos à la synergie : pourquoi la GRE et la résilience organisationnelle doivent s’unir

Logiciel de gestion des risques DORA : la technologie au service de la conformité

Rejoignez plus de 200 000 de vos pairs !

Ready to Talk?

Work with us.

Connect with us.