RGPD contre growth hacking : qui va gagner ?

Le growth Hacking est à la mode, pas seulement dans les start-up. Tout le monde s’y met, des livres sont publiés sur la question. Le growth hacking, c’est pour Frédéric Canevet :

une stratégie visant à obtenir une croissance forte et rapide, en détournant le système pour un résultat maximal avec un minimum de moyens.

Le point saillant du growth hacking, c’est le « hacking« , c’est à dire de stratégies que l’on qualifiera pour certaines d’entre elles, pudiquement de « limites ». Même les plus grands y trouve du charme :

C’est mieux d’être un pirate que de s’engager dans la marine.

Steve Jobs

Une autre notion devient de plus en plus à la mode. Elle est beaucoup moins amusante, voire rébarbative : le RGPD.

Question : le growth hacking est-il compatible avec le RGPD ? État des lieux de la question.

Les données personnelles : nerf de la guerre

Il y a quelques années, les commerciaux utilisaient les pages jaunes pour contacter de futurs clients. Les données contenues n’étaient pas très précises et il était compliqué d’avoir les coordonnées du bon interlocuteur à contacter. Mais ça c’était avant !

Aujourd’hui, grâce à LinkedIn, il est extrêmement simple de trouver les bons interlocuteurs et surtout leurs coordonnées complètes. C’est d’autant plus simple qu’il y a des outils qui facilitent la tâche : extension dans les navigateurs, API, sites internet pour deviner les adresses mail si elles ne sont pas mentionnées.

Il est également possible de télécharger les archives de données de LinkedIn qui contiennent… les coordonnées de vos contacts sur le site. C’est donc tentant de les télécharger pour alimenter sa propre base de données clients et d’envoyer sa newsletter ou des propositions commerciales.

Il est également relativement facile de trouver via des requêtes simples des bases de données d’emails librement accessibles en ligne. Il est tout aussi simple de les télécharger et de les ajouter à sa base d’emails. Les gens oublient souvent qu’ils ont donné leur emails, autant en profiter, n’est-ce pas ?

Des données personnelles pas si accessibles !

Les données personnelles sont à portée de main mais sont inaccessibles. Pour plusieurs raisons.

L’illusion de l’accessibilité des données

Par exemple, Linkedin interdit explicitement au point 8 de ses CGU, de « développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie ou tout travail physique) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services« .

Passer outre, en clair ne pas respecter le contrat vous expose à ce que ce contrat soit rompu par LinkedIn. C’est, sur le plan juridique un risque mesuré.

Le risque est en réalité ailleurs.

Le risque pénal d’une mauvaise gestion des données personnelles

Une section du code pénal recense les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques de données personnelles. Il s’agit des articles 226-16 et suivants du code pénal. Cette section du code pénal sanctionne les faits suivants :

• le défaut de respect des formalités de la loi de 1978 modifiée,
• le défaut de sécurisation des informations recueillies,
• la collecte déloyale ou frauduleuse de données personnelles,
• le recueil de données sensibles hors des cas prévus par la loi,
• le détournement de finalité.

Je ne suis pas sûr que tous vos contacts aient accepté que leurs coordonnées soient téléchargées dans votre CRM et soient destinataires de la newsletter de votre entreprise.

Ne pas respecter les CGU et faire du scraping de profils sur LinkedIn ou tout autre réseau social ou site d’ailleurs peut être vu comme  :

• une  collecte déloyale ou frauduleuse de données personnelles ;
• le détournement de finalité.

L’un n’exclut bien sûr pas l’autre. On le voit sur ce plan, le growth hacking est dans une zone noire. Ce n’est pas la peine d’attendre l’entrée en vigueur du RGPD pour changer de pratique. C’est déjà une pratique condamnable depuis fort longtemps ! Le RGPD va permettre d’assainir l’email marketing, notamment en raison du risque financier beaucoup plus élevé.

C’est sans compter le une meilleure information du public qui demandera plus souvent des comptes aux entreprises sur les données personnelles qu’elle a collectées.

Le growth hacking ne se limite pas à l’exploitation des données personnelles

Fort heureusement, le growth hacking ne se limite pas à l’aspiration sauvage de données personnelles sur le web.

Il y a beaucoup de leviers intéressants pour assurer la croissance de son entreprise. Il existe de nombreux outils pour faire du growth hacking sans pour autant risquer sa chemise à faire n’importe quoi avec les données personnelles.

Certes, les données personnelles sont considérées comme l’or noir du XXIème siècle mais qui se rappelle que ceux qui ont fait fortune pendant de la précédente fièvre de l’or étaient ceux qui vendaient les outils et pas les chercheurs d’or ?