L’évolution des réglementations mondiales sur la confidentialité des données maintient les spécialistes du marketing sur leurs gardes. En avril 2024, l’American Privacy Rights Act (APRA) a été présentée au Sénat. Le projet de loi proposé créerait un cadre fédéral de protection de la vie privée des consommateurs semblable au RGPD, qui réglemente la protection de la confidentialité des données des consommateurs dans l’UE. Si l’APRA est adoptée sous sa forme actuelle, les citoyens américains obtiendront le droit d’accéder, de corriger, de supprimer et d’exporter toutes les données collectées.
Cet environnement réglementaire et de cybersécurité chargé signifie que nous devons adopter une nouvelle et meilleure approche en matière de collecte, de protection et de gestion des données des consommateurs. Le changement est particulièrement urgent compte tenu des risques récemment exposés dans la plate-forme de marquage côté client de Google Tag Manager (GTM) (le gestionnaire de balises n°1 au monde). Il a été prouvé que GTM applique les principes de consentement par défaut, injecte des scripts cachés et même masque les fuites de données potentielles. Ces activités pourraient exposer les organisations à des millions d’amendes ou à des vulnérabilités en matière de cybersécurité.
Les stratégies de marquage GTM et côté client ne sont pas les seules options pour les spécialistes du marketing qui cherchent à améliorer leurs efforts de reciblage grâce à la collecte de données sur les consommateurs. J’exhorte les dirigeants à envisager les moyens suivants pour donner la priorité à la confidentialité des données lorsqu’ils travaillent avec des informations potentiellement sensibles sur les consommateurs.
Minimiser la collecte de données
Nous connaissons tous la valeur des données sur les consommateurs – et soyons clairs : la collecte de données n’est pas l’ennemi. Cependant, collecter uniquement les données clients strictement pertinentes pour nos besoins commerciaux est plus sûr et bien plus sécurisé. Les données inutiles sont difficiles à gérer et à protéger, ce qui rend les fuites beaucoup plus probables. Son entretien est également coûteux.
Les dirigeants devraient réduire la collecte de données en minimisant les champs de données et en se renseignant directement uniquement sur les données qui éclairent les efforts de reciblage ou d’analyse. Par exemple, les informations intéressantes, comme la date de naissance ou le deuxième prénom d’un client, ne doivent pas être prioritaires par rapport aux données indispensables comme les prénoms et les adresses e-mail.
Il est important de noter que la collecte d’informations périphériques peut également créer une expérience client (CX) fastidieuse qui dissuade les clients de fournir des données en premier lieu. Ainsi, pratiquer la tempérance offre à la fois des avantages en matière d’intimité et d’expérience.
Créez un pipeline de données sécurisé
Les données des consommateurs doivent être collectées et traitées de manière sécurisée tout au long de leur cycle de vie, de la collecte/ingestion à l’expiration/suppression. Les organisations devraient envisager de mettre en œuvre les mesures suivantes pour protéger les données :
- Contrôle d’accès basé sur les rôles (RBAC): Le principe du moindre privilège doit toujours être appliqué aux systèmes contenant des données sur les consommateurs. En d’autres termes, les utilisateurs du système doivent uniquement conserver l’accès aux données et aux ressources pertinentes pour leur rôle. Ceci est particulièrement important pour les données des consommateurs, qui peuvent contenir des informations personnellement identifiables (PII). Les informations personnelles ne doivent jamais être accessibles à des utilisateurs non concernés. RBAC aide à atténuer la diffusion des informations personnelles en limitant l’accès des utilisateurs à certains ensembles de données.
- Cryptage: Les organisations devraient envisager de chiffrer les données des clients pour les protéger davantage contre tout accès non autorisé. Cela garantit que les données volées sont illisibles pour les mauvais acteurs, minimisant ainsi les dommages associés à une violation.
- Prévention contre la perte de données (DLP): Le logiciel DLP garantit que les informations personnelles et autres données des consommateurs ne sont pas perdues, utilisées à mauvais escient ou consultées de manière inappropriée. Il classe les ensembles de données par sensibilité relative (c’est-à-dire informations « de notoriété publique » par rapport aux informations personnelles) et empêche les transmissions de données non autorisées.
- Gestion des balises côté serveur: Contrairement aux balises côté client, les balises côté serveur se chargent et se déploient sur le serveur d’un site Web, améliorant ainsi les performances Web pour les clients et la gouvernance des données. Étant donné que les balises sont exécutées sur le serveur, elles n’exposent pas les informations personnelles directement dans le navigateur de l’utilisateur, ce qui réduit le risque d’interception de données par des acteurs malveillants via des attaques basées sur le navigateur. De plus, la gestion des balises côté serveur donne aux organisations un meilleur contrôle sur le moment et la manière dont les données sont collectées et traitées. Ce contrôle centralisé permet de garantir le respect des réglementations en matière de protection des données.
Partagez des données uniquement avec des tiers de confiance
Environ un tiers des violations de données en 2023 sont dues à des vulnérabilités dans les politiques de protection des données et de cybersécurité d’un partenaire. Il est important de noter que le RGPD et le California Consumer Protection Act (CCPA) tiennent les collecteurs de données de première partie responsables des violations en aval. Vous devez donc être sélectif quant aux entités avec lesquelles vous partagez des données.
Avant de créer un accord de partage de données avec un tiers, examinez les garanties de stockage, de collecte et de transfert de données de l’organisation. Vérifiez que les politiques de protection des données de l’organisation sont aussi robustes que les vôtres. De plus, lors de la rédaction d’un éventuel accord, assurez-vous que les termes du contrat imposent un niveau de protection supérieur, en définissant les responsabilités et les attentes de chaque partie en termes de conformité et de cybersécurité.
Une diligence raisonnable est nécessaire au début d’une relation. Cependant, il est également essentiel de maintenir une ligne de communication ouverte après le début du partenariat. Les organisations devraient réévaluer régulièrement les engagements de leurs partenaires en matière de confidentialité des données en se renseignant sur leurs politiques actuelles de protection des données, y compris les délais de stockage des données et l’intention d’utiliser ces données. La transparence dans un partenariat est essentielle, car elle permet à votre organisation de prendre des mesures rapides contre les vulnérabilités externes.
Faire respecter le consentement lors de la collecte
La plupart des clients peuvent à tout moment se désinscrire de la collecte et du suivi des données. (Même si ce n’est pas le cas dans une juridiction particulière, une législation est probablement en route.) Cette préférence est connue sous le nom de « consentement » – et permettre sa collecte ne représente que la moitié du chemin. Les organisations doivent également appliquer le consentement de manière proactive pour garantir que le routage des données en aval ne compromet pas ou n’invalide pas les préférences expresses d’un client.
Les organisations doivent envisager des outils et des solutions qui appliquent le consentement de manière dynamique et anonyme. Certaines solutions peuvent s’intégrer à une plateforme de gestion du consentement (CMP) existante pour appliquer le consentement dans un écosystème client existant. En imposant le consentement au moment de la collecte, ces solutions garantissent que le partage par des tiers n’invalide pas les préférences d’un consommateur.
Regard vers l’avenir de la confidentialité des données
Les violations de données et les scandales liés à la vie privée ont amené de nombreux consommateurs à se méfier de leurs relations avec les marques en ligne. Seul un consommateur sur dix fait entièrement confiance aux organisations pour gérer ses données d’identité. À mesure que les réglementations mondiales évoluent pour prendre en compte ces préoccupations légitimes des consommateurs et que les violations de cybersécurité deviennent de plus en plus fréquentes, les spécialistes du marketing deviennent des acteurs essentiels dans la création d’un avenir axé sur la confidentialité.
En prenant des mesures concrètes pour minimiser la surconsommation de données, protéger les informations personnelles, faire respecter le consentement et contrôler les partenaires tiers, les spécialistes du marketing peuvent obtenir l’approbation des consommateurs tout en gardant une longueur d’avance sur la vague montante de nouvelles législations. En fin de compte, les entreprises qui prospéreront ne seront pas seulement celles qui possèdent le plus de données, mais aussi celles qui auront mérité le droit d’en être les gestionnaires.