RGPD Commerce et distribution :
et maintenant on fait quoi ?
Tout d’abord il n’existe aucun certificateur RGPD agréé par les autorités, comme c’est le cas, par exemple, pour la mise sur le marché des médicaments. Les bonnes pratiques sont issues d’une démarche qualité d’auto-certification menée par chaque entreprise avec ou sans l’aide d’un cabinet externe type AFNOR ou autre. Cette démarche qualité pour la protection des données personnelles s’apparente tout à fait à la responsabilité qu’ont les industriels sur la fiabilité des produits qu’ils mettent sur le marché, dans l’ensemble des secteurs alimentaire, jouet, textile etc… Le législateur désigne, dans l’industrie, la liste et les taux acceptables des substances potentiellement nocives. De la même façon, il y a des dispositions réglementaires précises qui s’imposent aux usages des outils de communication et rappelées dans le RGPD.
En l’occurrence, par rapport aux réglementations successives, notamment, la loi informatique et liberté de 1978 en France, la directive européenne de 1995, la directive e-privacy et l’article L.34-5 du code des Postes et communications électroniques de 2004, la réglementation RGPD du 24 mai 2018 n’apporte que très peu de modifications. Arrêtons les délires sur les changements techniques imposés par la nouvelle législation, tout ou presque était censé être déjà connu et appliqué, le RGPD demande simplement à chaque entreprise d’être maintenant « accountable », responsable, pour installer des mesures de protections adaptées aux usages et aux risques de sa propre activité.
Pour mieux comprendre, à titre de comparaison, il n’y a pas de loi qui régisse précisément la bonne date limite de consommation à annoncer aux consommateurs, chaque industriel doit, en revanche, engager sa responsabilité sur la bonne durée adaptée au risque de chaque produit que, lui, le spécialiste connaît mieux que tous. C’est exactement la même logique pour la protection des données personnelles. Chaque entreprise doit se poser pour identifier les risques et s’organiser pour gérer au mieux et au plus vite les crises possibles, notamment, en cas de violation d’un fichier sensible. On comprend ainsi que dans la hiérarchie des risques, les fichiers qui détiennent des informations de santé, financières, d’assurances, de communications téléphoniques ou sur les réseaux sociaux, ainsi que sur le personnel, notamment, l’historique des salaires, des performances, des appréciations, des arrêts de maladie … sont des fichiers sensibles.
En matière de consommation dans les points de vente physique, les fuites de fichiers qui se feraient avec l’historique des achats de chemises, de fromage, de banane, de fenêtre ou de canapé présentent un risque de dommage bien moindre pour l’individu. Un fichier de site de rencontre sera plus sensible, un collaborateur ou un prestataire qui détournerait dans une grande enseigne nationale la sélection des acheteurs de produits Hallal pour constituer un «fichier religieux» serait bien plus grave.
Essayons, tout d’abord, de limiter ou de supprimer le nombre de personnes ayant accès en «open-bar» aux fichiers. Pour s’assurer sur les risques liés aux sous-traitants qui interviennent sur vos fichiers, il faut surtout investiguer sur le profil du partenaire, son organisation et son intégrité. Ne croyez pas que vous serez dégagé de responsabilité parce que vous aurez reçu une attestation « RGPD Compliant » signée ou pas par un avocat. En 2018, par définition, personne ne peut s’affirmer « RGPD compliant ». Ceux qui le font, soit sont irresponsables, soit répondent à une pression commerciale malsaine d’un client inculte sur le sujet. Chacun peut juste affirmer son « accountability », responsabilité, face à la réglementation et décrire par quelles mesures opérationnelles, il maîtrise ses risques, son intégrité et sa gestion de crise face à une éventuelle violation de son dispositif.
Si vous êtes commerçant ou un distributeur qui vendez des produits assez simples, accompagnés de partenaires comme vous, sincères et éthiques, que vous communiquez avec vos clients historiques par email et SMS, pour proposer des offres promotionnelles sur vos seuls produits, même sans avoir obtenu ou conservé la preuve du consentement explicite, vous devez continuer à la faire comme l’article L.34-5 du code des Postes et communications électroniques de 2004 vous y autorise.
Si actuellement, dans vos pratiques vous n’avez pas de plaintes lors de vos communications commerciales ne cédez pas aux injonctions ayatollesques des juristes qui vous pousseraient à sevrer de promotions les consommateurs habituels qui n’auraient pas ouvert ou cliqué votre dernier email pour donner un consentement explicite. Si vous cédez à cet excès de zèle vous récolterez assurément beaucoup plus de plaintes de clients fidèles parce qu’ils auront manqué la braderie ou la vente privée. Votre risque juridique d’être poursuivi par le client pour discrimination commerciale est beaucoup plus important que de n’avoir pas revalidé expressément son accord de recevoir par email et SMS vos offres commerciales. Ceci concerne bien sûr uniquement des fichiers de clients et non pas des simples visiteurs de sites, des abonnés newsletters non clients ou des simples participants à des jeux etc… Ainsi, pour être en conformité avec le RGPD un nettoyage de printemps de vos fichiers s’impose.
Si nous vous encourageons à recueillir le maximum de consentement explicite pour vos fichiers marketing email et SMS, il faut le faire mais pour d’autres raisons que légales.
Attention, cette vision s’applique à des relations claires et sincères avec la clientèle. Si vous vous amusez, comme le font certaines enseignes du monde automobile, de l’assurance et des comparateurs de prix, à refiler à la location des fichiers dits « intentionnistes », pour arrondir vos fins de mois, il ne faudra pas vous plaindre. Si vous vous rendez complices par des achats de prestations en communication commerciale à -50 % par rapport au prix de marché, vous ne pourrez pas simuler l’acheteur innocent de contrefaçon ou de lasagnes de boeuf à la viande de cheval.
A l’occasion de cette loi qui fixe pour les années à venir, le cadre de bonne hygiène de vie de confiance dans la relation client, il convient donc de balayer les risques, de se mettre en conformité sur l’application détaillée des opérations de communication commerciale ainsi que sur la gestion des bases de données clients et prospects.
Au-delà de quelques conseils juridiques à prendre en compte, si vous laissez gérer principalement vos équipes commerciales et marketing, en bon père de famille et avec éthique, le dispositif de relation client et prospect, tout se passera bien pour être, et surtout rester, « RGPD compliant ».
Thierry Guarnoni
Président de Vente Ciblée,
Auteur de :
« La communication locale, condamnée à innover »
« 20% des points de vente vont disparaître, pourquoi, faites partie des vainqueurs »
www. vente-ciblee.fr