Comment se préparer au RGPD sans devenir aveugle ?

2 Mai 2018
Michaël Froment

Comment respecter le RGPD sans perdre le tracking de ses audiences ? C'est la question du moment pour les équipes en charge du marketing digital. Revue des défis à relever.



Comment se préparer au RGPD sans devenir aveugle, autrement dit, sans perdre les données d'analyse de ses audiences digitales ? » Cette question résume la grande préoccupation actuelle des équipes marketing en charge de la performance digitale. Parce qu'il définit un nouveau régime pour la gestion des données à caractère personnel, le RGPD inspire aux entreprises de nouvelles pratiques en matière d'obtention des consentements. Résultat, de la gestion stricte des tags à l'activation des services associés (tracking analytique, retargeting, personnalisation...), c'est souvent l'ensemble du tag management qui est remis à plat.

Un consentement, c'est quoi ?

La notion est très clairement définie. Le consentement doit être obtenu dans des conditions qui ne souffrent aucune interprétation. Pour l'obtenir, il faut donc informer de manière claire et explicite chaque personne des finalités du traitement. En outre, pour être considéré comme tel, le consentement doit correspondre à un choix réel (et non contraint). En d'autres termes, la personne doit pouvoir accéder au service même si elle refuse son consentement...

Ces nouvelles pratiques posent 3 questions :

1-Comment simplifier l'obtention du consentement ?
2-Comment réduire au minimum le temps qui s'écoule entre le consentement et la réactivation du tracking ?
3-Comment industrialiser la gestion des tags dans la durée ?

Pour l'obtention du consentement, chacun cherche encore la formule idéale. Pas toujours simple en effet de trouver l'image ou les mots qui explicitent de manière claire et pédagogique la finalité du service tout en restant engageant. Idéalement, il faudrait en passer par de l'A/B Testing pour comparer les performances de différents messages. Mais pour beaucoup d'entreprises, à quelques semaines de l'entrée en application du RGPD, le temps commence à manquer...

Challenge technique : comment réactiver les tags aussitôt le consentement obtenu ?

Aussitôt le consentement obtenu, un nouveau défi s'impose : réactiver les tags au plus vite et si possible avant que l'internaute n'enchaine de nouvelles interactions. Seule issue pour réduire au minimum cet intervalle de temps, relier directement les bandeaux de consentement à la gestion des tags. En clair, s'appuyer sur un TMS (Tag Management System) dont le champ d'action couvre aussi la gestion de ces consentements. En effet un module dédié ePrivacypermet de lier directement le consentement obtenu pour un type d'usages, par exemple le suivi analytique, aux services et tags associés. Résultat, dès que l'internaute a donné son accord, sans attendre la prochaine interaction, le conteneur des tags est immédiatement rechargé et les tags concernés activés.

Et sans TMS apte à gérer la privacy ? Dans ce cas, la solution consiste à ajouter des lignes de code spécifiques à chaque tag pour vérifier l'obtention du consentement et gérer l'activation. Un travail qui, au-delà d'une poignée de tags (en moyenne les clients de Commanders Act comptent 16 tags par page), prend rapidement l'allure d'une usine à gaz dont la maintenance dans le temps sera bien délicate...

Le RGPD, une opportunité pour rationaliser les tags

Cette gestion agile des tags à l'heure du RGPD ne demande pas seulement un bon outillage mais aussi un travail préalable rigoureux de cartographie.Objectif : classer ces tags par finalités - pour demander les consentements adéquats - et en profiter pour faire le ménage... Lors de ces « inventaires », il n'est pas rare de découvrir des tags « oubliés », activés à l'occasion de partenariats qui ne sont plus d'actualité mais... qui continuent à envoyer des données.

Ce travail d'investigation est aussi l'occasion d'aller plus loin et de s'intéresser aux tags de second niveau. Ces tags peuvent être à l'origine de fuites de données (on parle communément de « data leakage ») vers des tiers non-identifiés. Là encore, le TMS peut s'avérer précieux s'il sait restituer la hiérarchie des tags et donner la capacité de désactiver d'éventuels intrus. Avec par exemple des fonctions qui s'appuient sur des listes (listes blanches et listes noires)pour identifier les tags autorisés et ceux qui ne le sont pas.
 

​ Des tags de second niveau ?

Comme leur nom l'indique, ces tags sont appelés par les tags principaux activés sur un site. Un tag destiné à la publicité ou au testing peut ainsi invoquer d'autres tags pour compléter le service rendu. Résultat, un type de tag consenti par un utilisateur peut appeler un tag de second niveau mais sur lequel le site web de l'éditeur n'a pas de vue direct et pour lequel on peut considérer qu'aucun consentement n'a été obtenu...

Au fil de ces travaux menés par les équipes marketing, la mise en pratique du RGPD, d'abord perçue comme une source de contraintes, fait émerger un consensus que l'on pourrait résumer ainsi : « Less is Better ». Une évolution qui rappelle cette vécue avec l'emailing : après une phase d'effervescence (et de saturation des audiences), les acteurs se sont alignés sur des usages plus sages et plus rationnels. Pour le tag management, la position consiste à s'en tenir aux tags réellement utiles au service fourni et à son pilotage car il s'avère clairement contre-productif de sur-collecter. Le RGPD vue comme une opportunité ? Nous n'en sommes plus très loin...

A propos de l'auteur : Michaël Froment est directeur et co-fondateur de Commanders Act.

Michaël Froment