Que faut-il faire quand la mise en place d’une gestion correcte des cookies et la volonté de respecter le RGPD fait perdre de la performance alors que la concurrence ne s’embarrasse pas de respecter ni la loi ni l’internaute ?
Drôle de situation que celle que j’ai pu rencontrer ces derniers mois. Dans le cadre du respect du RGPD (consentement cookies, conservation des données client, audit et chantier de mise en conformité), plusieurs clients ont décidé de prendre le taureau par les cornes et de tendre vers une conformité RGPD en suivant les recommandations de la CNIL.
En tant que prestataire webmarketing, j’ai été consulté et mis à contribution pour apporter mon expertise, mes retours d’expérience et transmettre les bons contacts.
Se lancer dans un chantier RGPD est un vrai travail de fond qui ne se limite pas aux cookies sur un site web. Pris dans son entièreté, c’est un chantier qui touche aux process de l’entreprise, à sa façon de gérer la donnée et qui force à se remettre en question des usages. Il faut minimiser les données personnelles, en contrôler et limiter l’accès aussi bien auprès des personnes que dans le temps, c’est un principe de base.
Par rapport au webmarketing et au web, il faut notamment surveiller :
- Les données collectées de façon visible et volontaire auprès des internautes (formulaires de contact mais aussi emails, contacts via les réseaux sociaux) ;
- Les données collectées de façon invisible : typiquement, les cookies ;
- Le partage de données personnelles collectées en interne et auprès de tiers. Cocher dans Google Ads ou Google Analytics que l’internaute a donné son accord pour transmettre les données n’est pas un clic anodin. Envoyer une liste de contacts même hashée à une régie pub pour chercher des correspondances avec des profils similaires non plus ;
- Le respect du RGPD par les outils utilisés. Tous les outils utilisés doivent respecter le RGPD et c’est notre boulot de vérifier que l’on utilise des outils conformes. Concrètement, le petit outil sympa vu sur ProductHunt ou partagé en OpenSource ne doit plus être utilisé sans avoir vérifié qu’il respectait le RGPD ;
- La bonne collecte du consentement et le respect du consentement de l’internaute. Le cas d’école le plus évident est l’usage des emails pour l’envoi de newsletter.
- La bonne mise en place de documents expliquant à l’internaute ce qui est fait avec ses données.
En plus du budget et des ressources impliquées, lorsque toutes ses tâches ont été mises en œuvre, que se passe-t-il ?
- Les statistiques d’analyse de trafic chutent. En plus de perturber la lecture des données (il faut connaître le taux de consentement pour extrapoler et estimer les données perdues), on se retrouve à devoir jongler avec des données fantômes recalculées et estimées ;
- Les données sont moins importantes et permettent de moins bien travailler. C’est très visible avec les campagnes Facebook Ads ou Google Ads pour lesquelles on se retrouve avec plus assez de conversions pour faire tourner les stratégies d’enchères voulues. En nourrissant moins bien l’IA, on se retrouve avec de moins bonnes performances.
Face à ces mauvaises nouvelles, il est frustrant de se dire que des efforts ont été faits mais qu’ils n’apportent, à court terme, que des problèmes. Surtout, lorsqu’en face, la concurrence n’en a rien à faire. J’ai rencontré plusieurs réponses à cette situation :
- Faire avec cette nouvelle réalité, l’accepter et ne rien faire de plus ;
- Essayer de collecter le plus possible de consentement en travaillant sur le taux de consentement (avec des bandeaux plus ou moins conformes) ou en demandant au meilleur moment le consentement à l’internaute. C’est ce que l’on commence à voir avec une relance cookie aux moments clés (pour afficher une carto, pour lancer une vidéo, pour créer un compte client…) ;
- Utiliser ponctuellement des méthodes non-RGPD pour collecter le consentement. Par exemple, au lieu de supprimer tous les anciens contacts, les relancer via un process de récupération de consentement (quelques emails bien tournés) ou de récupération d’activité (un ancien contact qui clique pour se connecter ou réactualiser son compte peut ainsi rebasculer du groupe « à supprimer » vers le groupe des contacts actifs) ;
- Collecter conformément certaines données et non-conformément d’autres (par exemple, ne pas contrôler les cookies Google Ads pour l’acquisition et contrôler les cookies de remarketing et les cookies Analytics) ;
- Manipuler le consentement en créant de faux consentement ou en écrasement le consentement collecté ;
- Utiliser un tracking masqué sans demande de consentement côté serveur ou via des outils internes moins visibles que les cookies ;
- Demander le consentement mais ne pas le respecter. Utiliser une CMP « mal » configurée ;
- Rester volontairement en non-conformité mais préparer un plan B au cas ou il faille très vite corriger la situation ;
- Dénoncer ou faire dénoncer la concurrence ;
- Agir en justice pour concurrence déloyale. Ne pas respecter le RGPD amène une distorsion de la concurrence et un avantage concurrentiel indu. Plusieurs décisions de justice récentes vont toutes dans le même sens.
Chacun choisira dans la liste l’approche qu’il préfère. De mon côté, je ne peux que pousser mes clients vers les solutions qui vont dans le sens du RGPD. Pour conclure sur une note moins défaitiste, voici quelques atouts que peuvent constater les entreprises qui font l’effort :
- Un travail sur les process permet de remettre à plat les flux d’informations. C’est un chantier rarement lancé et qui a l’avantage de poser de bonnes questions. Il y a toujours à gagner à optimiser ses données ;
- Le RGPD a un effet très positif sur la sécurité des données. Ce chantier rejoint certaines bonnes pratiques de sécurité informatique : contrôle des accès, minimisation des données ;
- L’image de l’entreprise est valorisée. C’est surtout vrai lorsqu’en face, on trouve des personnes déjà sensibilisés. Pour ma part, lorsque je vois une entreprise qui a fait l’effort de la mise en conformité, j’ai envie de lui dire « bien joué, on est passé par le même calvaire » et j’ai plus envie de bosser avec elle. Face à un autre acteur qui n’a pas fait le job, ça va clairement peser dans la décision finale. Pour certains projets, ne pas avoir mené son chantier RGPD ferme des portes : je l’ai vu avec certaines entreprises ou le service informatique contrôle et impose désormais aux prestataires d’être RGPD (comme la loi l’exige). Ça fait réfléchir les dirigeants et permet parfois de lancer le chantier nécessaire. Nul doute qu’au fil du temps, cette situation va se généraliser et forcer la main aux récalcitrants ;
- Des données collectées correctement ont plus de valeur que des données collectées comme un sauvage. Exemple concret : en cas d’audit pour la cession / revente d’une activité, ne pas être en conformité sera un argument pour faire baisser la valeur et donc le prix demandé. Ce dernier point est souvent celui qui fait mouche auprès des décideurs.
Photo : Pieter Ouwerkerk