Sanctions pour de mauvais usages de données CRM : quels impacts pour les entreprises ?

La sanction prononcée par la Cnil à l'encontre d'un acteur international de l'hôtellerie et celle du département de la justice californien contre un acteur du retail rappellent que les contrôles et sanctions ne se limitent pas aux problématiques de cookies tiers et d'utilisation d'outils d'Analytics.

Le 17 août 2022, la CNIL a prononcé une sanction de 600 000 € (un record !) à l’encontre d’un acteur international de l'hôtellerie pour plusieurs manquements au respect des consentements de ses clients. Le 24 août 2022, le département de la justice californien annonçait une sanction de 1,2 millions $ contre un acteur du retail spécialisé, suite au manque d’informations et de possibilités d’opposition de ses clients à la revente de leurs informations personnelles à des tiers.

Cette actualité estivale brûlante nous rappelle que les contrôles et sanctions ne se limitent pas aux problématiques de cookies tiers et d’utilisation d’outils d’Analytics… 

Quels sont les faits reprochés ?

La CNIL et ses homologues européens ont reproché au groupe hôtelier plusieurs éléments :

● Recueil d’un consentement non éclairé : l’adresse email communiquée par un client lors de sa réservation le rendait éligible par défaut au programme de fidélité et aux communications commerciales associées (manquement aux modalités de recueil des consentements et au droit à l’information).

● Manquement au droit d’accès aux données personnelles : certaines demandes clients d’accès à leurs données personnelles n’ont pas été traitées dans les délais impartis (30 jours).

● Manquement au droit d’opposition : certaines demandes d’opposition n’ont pas été traitées dans les délais impartis (30 jours).

L’amende exceptionnelle infligée au groupe hôtelier et la communication publique de la sanction ont été décidées après concertation avec les autres organismes de contrôle européens et le CEPD (Comité Européen de la Protection des Données).

Dans le cas de la sanction californienne, l’acteur du retail concerné a transigé avec le procureur général de l’état qui lui reprochait sa politique de cookie mais également de ne pas respecter les demandes des clients qui refusaient que leurs données personnelles soient vendues à des tiers à des fins de retargeting.

Deux enseignements majeurs sont à retirer de cette situation :

  1. Le traitement des données CRM reste au cœur des préoccupations de la CNIL et des organismes de contrôle européens. C’est également le cas dans d’autres géographies, à l’heure où le gouvernement fédéral américain vient d’annoncer la mise en chantier d’un “RGPD” fédéral,
  2. Les sanctions imposées, importantes, et les droits d’image qui en découlent, ne peuvent plus justifier une quelconque prise de risque de la part des entreprises.

Quels impacts pour les entreprises opérant des données personnelles ?

1- Quels sont les risques ?

Ces condamnations l’illustrent à la perfection : les entités de contrôles européennes et californienne prennent très au sérieux le respect des réglementations en vigueur.

Les acteurs du B2C, en particulier ceux qui opèrent en e-commerce, sont les plus exposés, mais j’ai également eu connaissance, chez certains de nos clients, de mises en demeure également auprès d’acteurs du B2B pour des sujets de manquement au traitement de l’opt-out.

Un traitement inadéquat ou incomplet de la collecte d’un consentement (cases pré-cochées, incentive à l’opt-in…) et du désabonnement, sous couvert d’enjeux business ou de croissance des bases de données n’est plus envisageable au vu du montant des sanctions. L’ensemble du processus ne doit présenter aucune faille, des mécanismes techniques de la collecte à la diffusion de l’information dans les systèmes, en passant par la formation des utilisateurs ainsi que le contenu des textes informant sur le consentement et la conformité de ces mêmes textes à la réalité des traitements.

2- Comment s’assurer de la conformité des traitements appliqués sur les données personnelles de ses prospects et clients ?

Du fait de ces amendes, la connaissance de l’ensemble des traitements effectués sur les données personnelles et l’assurance de leur conformité avec les réglementations en vigueur est rendue encore plus indispensable pour les équipes data & CRM.

Quelles sont les étapes à suivre pour avoir une vision exhaustive et garantir les bonnes pratiques ?

La première étape, essentielle, est de disposer de la liste exhaustive de l’ensemble des consentements collectés, ainsi que de leurs points de collecte, qu’ils soient online ou offline. D’apparence simple, cet exercice peut s'avérer très complexe selon les business models, l’organisation des entreprises et les écosystèmes techniques ! Si plusieurs canaux, entités, outils ou prestataires collectent des consentements, comment s’assurer que les méthodes de collecte sont toutes conformes ? Quelle est la nature des consentements collectés ?

Ce mapping des consentements est un must-have pour toutes les équipes marketing client.

Dans un second temps, il convient de réaliser un inventaire exhaustif des traitements réalisés avec les données en matière de marketing relationnel, de programme de fidélisation, ou encore de monétisation. Sur le long terme, je recommande la mise en place d’une gouvernance “privacy” dans les organisations, chargée notamment de garantir que les consentements recueillis et les traitements restent bien alignés.

Il est ensuite primordial de s’assurer de la bonne propagation des données dans l’écosystème technique. Si plusieurs acteurs exploitent les données personnelles et consentements, les mises à jour doivent être propagées au sein de toutes les entités utilisatrices de l’information. L’expérience nous montre malheureusement fréquemment que les informations d’opt-in, mais également d'opt-out peinent parfois à être mises à jour dans l’ensemble des écosystèmes. Des audits des flux d’échanges entre les systèmes eux-mêmes sont nécessaires pour s’assurer de la propagation effective des données.

Il convient enfin de s’assurer que les consentements exprimés soient utilisés à bon escient à travers l’ensemble de l’écosystème et des communications adressées. Le consentement donné par le client pour recevoir les actualités d’un magasin le rend-t-il éligible à des campagnes de retargeting ? C’est, entre autres, sur ce point que le groupe hôtelier a été sanctionné par la CNIL. Pour rappel, le consentement donné par un client l’est de manière spécifique et sert une finalité précise et définie. Dans ce domaine, notons d’ailleurs que l’erreur est souvent humaine : les utilisateurs ont besoin d’être formés afin de comprendre et d’utiliser correctement les informations d’inscription ou de désinscription.

La complexité des règles de consentement, la multiplicité des acteurs impliqués et des points de contact avec les clients ou prospects, la multiplication d’outils et d’environnements techniques peuvent grandement complexifier la réalisation des audits et la mise en œuvre des actions correctives le cas échéant… Or, cette actualité estivale est un rappel fort de la part des entités de protection des données personnelles européennes à l’encontre de toutes les entreprises. La maîtrise des traitements n’est en aucun cas optionnelle et les prises de risques ne sont plus permises. En bref : les règles du jeu n’ont pas changé mais la mise est plus élevée.

Grégoire Michel, Partner CRM Converteo 

Mathilde Boucard, Consultante CRM Converteo (Groupe Dékuple)