Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
L’objectif de cet billet est de se poser une question : la crise de confiance à l’égard de la gestion des données personnelles par les réseaux sociaux peut-elle être résolue par l’adoption du RGPD ? Le RGPD peut-il rétablir la confiance des consommateurs à l’égard du traitement de leurs données sociales ? 

Quelles sont les principes clés du RGPD et ses conséquences possibles sur les politiques marketing ?

Le RGPD repose sur un certain nombre de principes.
Le principe de finalité
Les données ne peuvent être traitées que pour une finalité déterminée, explicite et légitime.
Le principe de proportionnalité
Seules les informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent être recueillies.
Le principe d’une durée limitée de conservation des données
Une durée de conservation doit être décidée en fonction de la finalité de chaque fichier.
Le principe de sécurité et de confidentialité
Les données contenues dans les fichiers ne peuvent être consultées que par des personnes habilitées à y accéder en raison de leur mission.
Le principe du respect des droits des personnes
L’article 13 du RGPD exige que soient communiquées un certain nombre d’informations lorsque les données sont collectées auprès de la personne concernée ( coordonnées du responsable du traitement notamment, profiling eventuel etc.)
Les nouvelles mesures de conformité
La protection des données doit intervenir dès la conception du traitement (Privacy by design). Par ailleurs, la notification de toute violation des données à caractère personnel est obligatoire. Enfin, il faut respecter le principe de minimisation des données (il n’y a traitement des données à caractère personnel que si les finalités du traitement ne peuvent être atteintes par des données à caractère non personnel).
Le RGPD réaffirme un certain nombre de droits dont le droit à l’oubli ou droit à l’effacement de ses données à caractère personnel.
Il impose des analyses d’impact lorsque le traitement porte sur des données à grande échelle pouvant représenter une menace pour les droits et libertés des personnes. Il autorise la portabilité des données : les personnes peuvent demander que leurs données à caractère personnel soient transmises à un autre responsable de traitement.
Enfin, le traçage des traitements est primordial : tenue d’un registre des activités de traitement, capacité à suivre et identifier les destinataires des données par les responsables du traitement (DPO, data protection officer).

Les conséquences du RGPD sur les stratégies marketing sont nombreuses. En voici quelques-unes :

D’un point de vue opérationnel

 Pas d’opt-in ni d’opt-out passifs, un double opt-in systématique
 Des textes de formulaires clairs et précis
 Des sites sécurisés (HTTPS)
 Une publicité personnalisée de moins en moins appliquée (Quid du Retargeting)
 La pseudonymisation et anonymisation des données (quels raisonnements autour des segmentations ?)
 Mise en place du privacy by design pour toute campagne de collecte et, notamment, pour les projets Big Data
 Une gestion rigoureuse de la portabilité et son lien avec la fidélisation

D’un point de vue théorique :  quel agenda de recherche ?

La littérature sur la confiance et les données personnelles est très situationnelle et faiblement intégrative. Elle peut porter sur le concept de privacy, la confiance à l’égard des réseaux sociaux ou du mobile, les contenus (fake news), l’e-commerce, l’économie collaborative, les moyens de paiement, la confiance digitale au sens large.
Des essais de modélisation et de mesure représentent des voies originales permettant une vision plus holistique des liens confiance – données personnelles.
De nombreuses recherches pourraient revoir les différents modèles de la confiance et leurs liens avec les préconisations du RGPD.

Que mesurer et que vérifier ? Discussions autour de certains axes et protocoles de recherche

Trois axes de recherche nous semblent intéressants à étudier :
Le concept de classification des données personnelles sociales. Cette classification correspond-elle au ressenti du consommateur ? Peut-on identifier des segments de consommateurs pour qui certaines données sociales sensibles sont en fait non sensibles et inversement. La littérature sur les données personnelles est extrêmement vaste mais ne prend pas en compte certaines évolutions en termes de comportement et d’usage (exemple le code de sa porte d’entrée est une donnée sensible mais non sensible lorsque l’on veut se faire livrer par Amazon. Il est également une donnée sociale puisqu’Amazon nous propose de partager notre achat).

donnéespersonnelles

Source : Artik Consulting

La confiance dans les nouvelles stratégies affichées suite à l’adoption du RGPD. Facebook communique sur la possibilité d’effacer son historique de navigation. Google annonce vouloir renoncer au retargeting et à la publicité personnalisée. Cet axe pourrait concerner le discours des dirigeants, les politiques de gestion de crise. Les réseaux sociaux ont été particulièrement touchés par une série de scandales concernant l’utilisation des données personnelles. Ils communiquent sur le RGPD pour restaurer la confiance des consommateurs dans leurs traitements. Quels impacts peuvent avoir ce type de communication très technique et juridique ?

La confiance dans le règlement lui-même. Chaque principe de la loi (droit à l’oubli, portabilité, privacy by design…) apparaît très ambitieux. Quelles sont les perceptions du consommateur concernant ces principes ? Quelles stratégies le consommateur met-il en pratique pour protéger ses données personnelles ? Cet axe correspondrait à une recherche plutôt ethnographique sur les rites et les routines que le consommateur pratique pour protéger ses données et sa façon de s’approprier (ou non) le RGPD.

Bibliographie indicative

Baym N (2013) Data not seen: The uses and shortcomings ofsocial media metrics. First Monday 18(10). Available online at http://firstmonday.org/article/view/4873/3752. DOI: 10.5210/fm.v18i10.4873 (accessed 25 January 2018).
Chan J and Bennett Moses L (2017) Making sense of Big Data for security. British Journal of Criminology, 57(2): 299–319.
Crawford K (2016) The anxieties of Big Data. The New Inquiry. Available at: https://thenewinquiry.com/the-anxieties-of-big-data/ (accessed 20 December 2017).

Chakravorti B, Bhalla A, Chaturvedi R. The 4 Dimensions of Digital Trust, Charted Across 42 Countries. Harvard Business Review Digital Articles [serial online]. February 19, 2018;:2-8. Available from: Business Source Complete, Ipswich, MA. Accessed May 6, 2018.

Khadim, RA, Hanan, MA, Arshad, A, Saleem, N, & Khadim, NA 2018, ‘REVISITING ANTECEDENTS OF BRAND LOYALTY: IMPACT OF PERCEIVED SOCIAL MEDIA COMMUNICATION WITH BRAND TRUST AND BRAND EQUITY AS MEDIATORS’, Academy of Strategic Management Journal, vol. 17, no. 1, pp. 1-13.
Mayer, Roger C., Davis, J. and Schoorman, F.D. An Integrative Model of Organizational Trust. Academy of Management Review , Vol. 20, No. 3 (Jul., 1995), pp. 709-734
McKnight, D. Harrison, Larry L. Cummings, and Norman L. Chervany. 1998. “Initial trust formation in new organizational relationships.” Academy of Management Review, 473-490
Tikhomirova A. REINFORCING TRUST AND SECURITY IN DIGITAL SERVICES AND IN THE HANDLING OF PERSONAL DATA. Intereulaweast: Journal For International & European Law, Economics & Market Integrations [serial online]. June 2016;3(1):145-153. Available from: Business Source Complete, Ipswich, MA. Accessed May 6, 2018.