Avec plus de 4,9 milliards d’internautes dans le monde au 1er janvier 2019, plus de 26 milliards d’appareils connectés (cf. alioze.com), 1.6 milliards de sites web  et quelques 92 milliards d’euro générés par le e-commerce en France (fr.statista.com, 16 juillet 2019), le marketing digital est aujourd’hui à la fois un atout stratégique et une préoccupation centrale pour les entreprises.

Afin de s’adapter aux évolutions des pratiques du marché, ces dernières doivent composer avec un environnement contractuel et règlementaire complexe, sans oublier la RSE.

Evolutions des pratiques et technologies innovantes

La démocratisation du recours à des technologies innovantes est amené à transformer les pratiques du marketing digital. Les techniques traditionnelles du marketing digital, telles que l’emailing de masse, le travail sur la pertinence du contenu (SEO), l’achats de liens sponsorisés (SEA), ou encore la publicité et l’organisation d’évènements, sont en passe d’être complétées, améliorées, parfois remplacées par des méthodes fondées sur des nouvelles technologies, telles que la géolocalisation, l’usage des objets connectés, la combinaison ou encore le traitement algorithmique de données, dans un but d’améliorer le ciblage des prospects, d’affuter la connaissance du client et d’anticiper ses besoins.

Ces nouvelles méthodes, notamment permises par le data mining, l’intelligence artificielle, ou le recours aux nouvelles formes de plateformes CRM (par exemple les customer data platforms), ont en commun d’une part, de reposer sur un traitement massif ou systématique de données à caractère personnel et, d’autre part, d’exiger l’intervention de prestataires spécialisés avec lesquels l’entreprise se doit de sécuriser la relation contractuelle. A ce constat s’ajoute une tendance à l’inflation et à l’évolution législative destinée à réglementer l’usage de ces nouveaux outils.

Ce phénomène n’est pas sans enjeux pour les entreprises et leur direction marketing, qui doivent désormais composer avec les professionnels du monde de l’informatique ou de l’innovation et appréhender les risques qui accompagnent de telles solutions : risque économique (perte de données clients ou chute des retours sur investissement), dépendance technologique vis-à-vis du prestataire, sécurité des systèmes d’information, conformité légale et règlementaire...

Face à ces risques et une législation récente en perpétuelle évolution, nous pensons que les devraient centrer leur stratégie autour de deux axes principaux :

• sécuriser la chaîne contractuelle
• et assurer leur conformité règlementaire, surtout en cas de traitement de données à caractère personnel.

Multiplicité d’acteurs et multiplicité des risques : l’importance du contrat

La sécurisation de toute solution marketing nécessite pour les entreprises de prévoir un ou plusieurs contrats adaptés, dans un contexte d’évolution législative importante et d’acteurs spécialisés et multiples.

Parce qu’elles reposent sur des technologies de plus en plus pointues, les techniques de e-marketing font nécessairement intervenir une multiplicité d’acteurs : agences marketing, régies publicitaires, consultants, hébergeurs et plus récemment éditeurs on premise ou SaaS, intégrateurs, mainteneurs, infogérants...

A chacun de ces acteurs correspond une relation contractuelle qu’il convient d’encadrer.

La sécurisation contractuelle de l’utilisation de la solution dans son ensemble ne pourra être assurée que par une multitude de contrats qu’il convient de rédiger avec une cohérence d’ensemble = CGU avec l’utilisateur, contrat d’agence, de licence, de maintenance, de consulting, de service cloud, d’hébergement etc.

Une attention particulière portée à la négociation et à la conclusion de ces contrats, avec chacune des parties impliquées, permettra ainsi de sécuriser plusieurs aspects essentiels de ce type de prestations, tels que :

• les évolutions législative ;
• le niveau d’engagement du prestataire (niveaux de services, obligation de résultat, pénalités) ;
• l’étendue de sa responsabilité (plafond, cas d’exclusion) ;
• l’utilisation des éléments protégés par la propriété intellectuelle (base de données, logiciels) ;
• les éventuelles garanties contractuelles ;
• les droits d’utilisation ou de réutilisation des données ;
• l’intervention du personnel du prestataire dans les locaux de l’entreprise ;
• la recette
• la réversibilité,
• la protection des données, etc.
• sans oublier, des garanties et des actions concrètes en matière de RSE.

Utilisation massive des données à caractère personnel, profilage et RGPD

Les nouvelles pratiques du marketing digital s’appuient sur le traitement d’importants ensembles de données à caractère personnel afin, par exemple, de personnaliser les campagnes d’emailing en fonction des préférences et des comportements de leurs prospects, ou pour automatiser des actions marketing tel que le A/B testing, processus permettant par exemple d’identifier quel type d’emailing a fonctionné dans tel type de situation.

Ces techniques marketing, qui peuvent être le résultat d’un traitement algorithmique de grandes quantités de données (marketing-professionnel.fr, 24 mai 2019), peuvent également être le fruit d’une interconnexion de fichiers, comme dans le cas des customer data platforms (Strategies.fr, 27 février 2019) et/ou reposer sur des méthodes de profilage.

Les règles spécifiques, prévues par le RGPD ou par la CNIL encadrant le profilage, l’interconnexion, la géolocalisation, ou le dépôt de cookies – qui demeure une méthode de traçage de l’internaute usitée – devront impérativement être respectées.

Bien souvent, une analyse d’impact devra être réalisée, par exemple lorsque de larges ensembles de données à caractère personnel sont traités aux fins de profilage, lorsque les données de différents départements de l’entreprise sont interconnectées, ou lorsque les données sont collectées par des objets connectés.

Ces règles s’imposent à l’entreprise acheteuse en tant que responsable du traitement, comme aux prestataires, qui se doivent de proposer des services conformes au RGPD, dans le respect de la logique de privacy by design.

S’agissant du respect du principe de transparence, rappelons qu’un traitement de données à caractère personnel à des fins marketing constitue en soi une finalité, et doit à ce titre être annoncé aux utilisateurs au moment de la collecte de leurs données.

Lorsque la méthode de ciblage utilisée nécessite un consentement de la personne concernée (par exemple, sa géolocalisation), un consentement spécifique à l’utilisation à des fins marketing d’une telle méthode devra être recueilli (CNIL.fr, 19 juillet 2018). 

Quant à la conformité RGPD des solutions incluant du machine learning ou de l’intelligence artificielle, le principe de minimisation des données semble représenter un sérieux obstacle.

A moins de cantonner la compréhension du principe de minimisation à celui de la pertinence des données traitées, et non à un principe de limitation quantitative de données, les quantités massives de données nécessaires au fonctionnement de ce type de technologies empêcheront par principe la légalité de ces traitements.

En conclusion, pour sécuriser l’utilisation du marketing digital, nous recommandons de :

• identifier les acteurs en présence afin de sécuriser ces relations par un/des contrat(s) adapté(s) ;
• encadrer au sein des contrats les points sensibles comme la responsabilité, les droits sur les données traitées ou encore les garanties contractuelles ;
• identifier les différents traitements des données personnelles qui sont réalisés et se conformer aux législations relatives à la protection des données à caractère personnel
• prendre en considération la responsabilité sociale et environnementale (RSE), qui va certainement devenir un sujet de plus en plus sensible dans les années à venir pour anticiper de nouvelles crises similaire à celle que nous vivons actuellement.

Arthur Poirier, avocat en charge du marketing digital et Claudia Weber, avocate associée