La reconversion, parent pauvre des politiques d…
Depuis plusieurs années, le secteur bancaire est en pleine transformation digitale, entraînant une augmentation importante du volume de données personnelles collectées et traitées par les banques.
Il est devenu essentiel de renforcer les droits et devoirs des différentes parties-prenantes. C’est dans cette perspective que l'Union Européenne a adopté le Règlement Général sur la Protection des Données personnelles (communément appelé RGPD en français ou GDPR en anglais) qui entrera en application le 25 mai 2018.
Par donnée à caractère personnel est désignée toute information permettant d’identifier directement ou indirectement une personne physique.
A noter que certains métiers et certaines fonctions bancaires se voient plus impactés que d’autres étant donné la place prépondérante qu’occupe la donnée personnelle au sein de leurs processus opérationnels. C’est notamment le cas de la sphère Marketing où la collecte de la donnée personnelle représente un véritable enjeu stratégique du fait de la multiplicité de ses usages.
L’arrivée imminente du Règlement Général sur la Protection des Données personnelles pourrait donc être vue comme un frein à l’activité marketing du fait de l’apparition de nouvelles exigences concernant l’usage de données personnelles (justification d’une base légale, transparence client, réponses aux requêtes clients,…). Toutefois, après analyse, il n'en est rien. En effet, ce nouveau règlement européen s’assure tout simplement d’encadrer les pratiques marketings existantes par une dimension protection des données personnelles.
GDPR ne limitera en aucun cas le traitement des données personnelles au sein des fonctions Marketing, il requerra uniquement de collecter le consentement explicite du prospect / client ou d’être en mesure de justifier l’usage des données personnelles par un intérêt légitime.
Afin de traiter la donnée personnelle de prospects, les établissements bancaires devront en premier lieu recueillir le consentement explicite des prospects. Pour ce faire, les banques devront par exemple ajouter à l’ensemble des formulaires de contacts accessibles sur leurs plateformes digitales des cases à cocher dites d’opt-in (permettant à l’individu de donner son accord explicite avant d’être la cible d’une action marketing) et d’opt-out (permettant à l’individu de mettre un terme au traitement de ses données). Les consentements recueillis devront être soigneusement stockés afin de pouvoir répondre à une requête client mais aussi en cas de contrôle du régulateur.
Au cours du cycle de vie du client bancaire, il sera potentiellement possible de passer outre le recueil du consentement dans le cas où le traitement des données personnelles est justifié par un intérêt légitime. Pour illustration, « le développement et la proposition d’offres de produits et de services dédiés » pourrait être un exemple d’intérêt légitime avancé par la fonction Marketing afin de justifier juridiquement le traitement des données personnelles clients et, par conséquent, l’absence d’obligation de recueillir le consentement.
Cette dichotomie entre consentement et intérêt légitime représente un véritable challenge pour la Fonction Marketing. Accompagné des fonctions Juridique et Conformité, le Marketing devra cartographier en amont l’ensemble de ces processus et associer à chacun de ces processus une justification de traitement couverte soit par l’intérêt légitime soit par le consentement.
Par ailleurs, l’entrée en vigueur de GDPR n’entravera en rien les pratiques de marketing analytique et d’analyse prédictive. En effet, le règlement autorise le « profilage » à condition que celui-ci soit justifié par un intérêt légitime, ou dans le cas contraire, par la collecte du consentement client. Ici encore, l’arbitrage entre intérêt légitime et consentement se pose. Au sens de GDPR, le profilage consiste en « toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant […] ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements ».
Par-delà ce sujet de justification légale, le nouveau Règlement entraine les fonctions Marketing à se repenser en termes de gestion de la donnée personnelle.
En effet, GDPR renforce les droits des personnes dont les données sont collectées, en précisant les droits existants (droit d’accès, droit de rectification, droit d’opposition) et en en créant des nouveaux (droit d’information, droit de suppression, droit de portabilité, droit à la limitation du traitement, prise de décision automatisée). En cas de requêtes clients, les organisations devront être en mesure d’y répondre dans la limite d’un délai spécifique. Concrètement, cela signifie pour la fonction Marketing de mettre en place une solution pérenne de stockage des consentements prospects / clients, tout en développant un outil de reporting dédié au suivi du traitement des données personnelles des prospects / clients.
De plus, afin de s’assurer une visibilité totale sur la collecte et le traitement des données personnelles, un volet sensibilisation / formation des équipes est également à mettre en œuvre. En effet, aujourd’hui les analystes / marketeurs ont tendance à stocker les fichiers de contacts prospects / clients sur leurs répertoires personnels. Cette situation a priori anodine est en réalité à proscrire puisqu’en cas de requête client tel que le droit à l’oubli, il serait bien évidemment difficile de garantir la suppression de données personnelles stockées au sein d’un répertoire individuel. En bannissant cette pratique, GDPR encourage donc la fonction Marketing à se doter d’un outil CRM performant, tout en privilégiant l’usage des répertoires partagés.
Pour pérenniser cette sensibilisation à GDPR, il serait pertinent de repenser la gouvernance en nommant au sein des fonctions Marketing un « Responsable de la donnée », qui, comme son nom l’indique serait responsable de la qualité de la donnée au sein de son périmètre. Afin de donner de la légitimité à cette fonction, il serait intéressant d’imaginer un rattachement fonctionnel direct au Chief Data Officer (CDO) ou au Data Protection Officer (DPO).
GDPR invite donc les fonctions Marketing à se repenser en investissant dans la formation de ses collaborateurs et en se dotant, le cas échéant, d’une gouvernance pérenne.
Enfin, les établissements bancaires gagneraient à se saisir de cette exigence de transparence client pour fiabiliser leurs bases de données clients.
Pour ce faire, une des solutions serait de ré-agencer les espaces clients bancaires existants en créant une section portant sur la gestion des données personnelles collectées.
D’une part, d’un point de vue clients, cette espace permettrait :
De visualiser l’ensemble des données personnelles en possession des établissements bancaires afin d’en comprendre l’usage et les finalités de traitement
D’exercer l’ensemble de leurs droits cités précédemment par le renseignement d’un formulaire en ligne par exemple
D’autre part, du point de vue de l’établissement bancaire, cette section permettrait :
D’avoir une interface de collecte et de gestion des requêtes clients
De fiabiliser les données en leur possession en intégrant des incitations à la modification par le client
D’alimenter régulièrement le référentiel client
La mise en place de cette stratégie proactive permettrait donc d’avoir une meilleure connaissance client, tout en dynamisant la relation client par l’intégration active du client aux processus de fiabilisation des données.
Par la mise en conformité aux exigences GDPR, les fonctions Marketing se voient donc soumises à un exercice d’homogénéisation et de justification du traitement des données personnelles de leurs prospects / clients. Elles gagneraient donc à transformer l’essai en avantage concurrentiel en améliorant le management autour de la donnée personnelle. Il est en effet admis par tous qu’une donnée fiable est une donnée exploitable, et par conséquent source de gains potentiels.