Comment concilier enrichissement data et consentements ?

« Trop complexe et trop risqué. » C’est souvent le verdict qui tombe lorsque, dans une réunion, un responsable acquisition suggère d’enrichir les données collectées via les points de contact digitaux. De fait, depuis mai 2018 (entrée en vigueur du RGPD) et au fil des directives de la CNIL, s’assurer d’être conforme en matière de protection des données personnelles tout en croisant des données à des fins d’enrichissement peut relever du casse-tête. Une perception que tempère Arnaud Cecconi, CTO de Commanders Act.

« La situation est moins restrictive que ne le pensent bon nombre de clients. Oui, sur la data third party, beaucoup de contraintes s’appliquent et la marge de manœuvre est étroite. En revanche, sur la data first party, et notamment en pensant ‘privacy’ très en amont du process, beaucoup de choses restent possibles en matière d’enrichissement ».

Dans la pratique, tout dépend justement de l’enrichissement envisagé sur ces données first party. Trois grands types peuvent être distingués pour lesquels les exigences en matière de consentement diffèrent.

1. Enrichissement à la volée avec des données externes

De nombreuses données externes peuvent être combinées à la volée avec des données first party pour mieux renseigner les événements enregistrés. Une bonne manière de ne pas se contenter des données véhiculées via le datalayer. Par exemple avec des caractéristiques issues d’un catalogue de produits, ou encore des informations accessibles depuis un identifiant « officiel » comme une carte d’immatriculation (pour remonter les spécifications d’un véhicule).

Bonne nouvelle : pour ce type d’usages, un consentement pour une finalité de base suffit. En tout cas, tant que ces informations ne sont pas partagées à des tiers. Là, sans surprise, un consentement plus complet sera requis.

2. Enrichissement via croisement avec le CRM

C’est bien sûr une intention récurrente : croiser les données connectées en ligne avec celles figurant dans le CRM pour les vérifier et les compléter. Dans ce cas de figure, nous ne sommes pas seulement sur un sujet de gestion des consentements, mais aussi de préférences des utilisateurs. Avec un paramétrage de ces préférences parfois mené offline – typiquement dans le cadre d’une conversation avec le call center.

3. Enrichissement différé

Pour baliser le « customer journey », il est tentant de stocker des données afin qu’elles servent à un enrichissement ultérieur. Usage récurrent : stocker la liste des contenus consultés afin de les remonter lorsqu’une transaction a lieu pour évaluer l’influence du contenu sur les ventes. Un joli scénario pour lequel un consentement spécifique – pour le stockage de données – est requis. Sans cette approbation, l’enrichissement différé s’avère impossible.

Si ces 3 enrichissements s’appliquent à des données first party, notons toutefois que certains cas d’usage avec des données third party peuvent toujours être envisagés. Faire appel à des données météo par exemple reste possible tant que la géolocalisation ne se fait pas à une échelle plus fine que celle de la région – ce qui demande donc de masquer une partie de l’adresse IP.

Le server-side à la rescousse

Autre question légitime : une migration vers le server-side peut-elle faciliter les enrichissements ? Si le server-side ne change aucunement les obligations en matière de gestion des consentements, il offre un environnement plus sécurisé et plus contrôlé pour réaliser des enrichissements. Contrairement au mode client-side où l’exécution des codes JavaScript se fait dans le navigateur de l’utilisateur, avec toutes les incertitudes que cela implique concernant la conformité avec les consentements, le server-side élimine ces inquiétudes. De fait, en server-side l’enrichissement est réalisé sur des données qui sont d’emblée formatées et traitées selon les consentements obtenus. Résultat, un niveau de garantie et de contrôle bien plus élevé.

Voilà pourquoi la bascule sur des usages first data (plutôt que third data) et la migration vers du server-side apportent de la souplesse et de la sérénité. Une situation qui contraste avec des scénarios third data et un mode client-side. Dans une telle configuration, les doutes relatifs à la conformité avec la réglementation seront difficiles à ignorer pour un DPO forcément – et à raison – à l’affût des risques. Pour les marques, si l’horizon s’annonce plutôt bouché du côté des données third party, il reste donc largement ouvert du côté de la data first party. Ici, de nombreux usages restent possibles, avec beaucoup de valeur à la clé.