Appréhender la légalité dans le Growth Hacking
Le Growth Hacking se concentre sur la génération de croissance et donc sur l’acquisition de nouveaux clients. Comme nous avons pu le voir la data et les données sont très importantes pour faciliter la prise de contact de prospects chauds ou qualifiés.
Par son appellation, que l’on peut traduire par piratage de croissance, le Growth Hacking suscite des questionnements et plus particulièrement sur les méthodes utilisées pour générer de la croissance.
En effet les méthodes dites non-conventionnelles peuvent rapidement s’inscrire en dehors du cadre légal d’un pays. Le terme de Growth Hacker fait lui écho aux hackers qui dans l’inconscient collectif ont une connotation péjorative qui est liée à la cybercriminalité. Il n’est alors pas impossible que les Growth Hacker effectuent des actions à la limite de la légalité pour générer de la croissance.
Trois grandes catégories
Dans le webmarketing, on catégorise en trois groupes les actions que les webmarketeurs peuvent réaliser par rapport à la légalité et l’éthique de leur procédé. On va avoir des actions dites de White Hat, Grey Hat et Black Hat :
White Hat
White Hat. Ce terme va catégoriser l’ensemble des actes que va réaliser une entreprise et plus particulièrement les web-marketeurs de l’entreprise qui vont être conformes à la législation et aux règles que Google impose dans ces recommandations officielles.
Il s’agit essentiellement de stratégies sur le long terme qui demandent du temps avec la création de contenus uniques pour apporter de la valeur aux prospects qui consultent les sites internet.
Black Hat
Black Hat. A l’inverse du White Hat, le Black Hat est une stratégie basée sur le court terme pour avoir des résultats rapidement sur le référencement naturel et la génération de trafics sur un site internet.
Ces méthodes peuvent passer par du spam, du cloaking, de la redirection trompeuse ou encore de la suroptimisation et elles sont volontairement utilisées. Toutes ces méthodes sont interdites par les moteurs de recherche et peuvent faire pour certaines l’objet de poursuites judiciaires.
Grey Hat
Grey Hat. Le Grey Hat se positionne entre les deux derniers termes que nous venons de voir. Le plus généralement, les web-marketeurs qui effectuent du Grey Hat agissent comme des White Hat mais ils peuvent se retrouver volontairement ou involontairement dans une zone d’illégalité.
La légalité et son application
On peut appliquer cette même classification sur les Growth Hacker dans une entreprise. Comme nous avons pu le voir dans les exemples concrets d’entreprises qui ont appliqué des hacks, certaines des méthodes se situent à la limite de la légalité.
Comme l’exemple d’Airbnb qui spammait les plus gros utilisateurs du site. Craigslist pour générer plus de trafic sur le site d’Airbnb. Ainsi plusieurs réglementations vont restreindre le champ d’action du Growth Hacking, même si celui-ci n’a rien d’illégal dans son fondement.
Comme évoqué précédemment, une des composantes du métier de Growth Hacker va être l’analyse des données et plus particulièrement les données à caractère personnel des prospects.
En France au delà du droit, c’est la CNIL qui se doit de protéger les individus d’une utilisation abusive des données à caractère personnel de la part des entreprises. La CNIL définit une donnée à caractère personnel comme suit : « C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement».
Cela regroupe alors aussi bien un nom, une adresse mail, des identifiants de connexion ou encore une adresse IP.
Cette commission doit veiller au respect des lois. Pendant de nombreuses années, elle a dû faire respecter la loi « Informatique et Libertés » du 6 janvier 1978 ainsi que la directive européenne de 1995 sur la protection des données à caractère personnel.
Puis le 25 mai 2018 a été mise en application et promulgué par les membres de l’Union Européenne la réglementation générale sur la protection des données.
Cette réglementation européenne que l’on nomme aussi RGDP et GDPR en anglais a pour but de renforcer les droits des individus face à leurs données personnelles.
De nouvelles règlementations pour les entreprises
Parmi les principales nouvelles obligations qu’entrainent ce nouveau règlement aux entreprises et par conséquent aux Growth Hacker, on peut retenir :
- L’opt-in. Ce principe réside dans le fait que les organismes privés ou publiques doivent obtenir l’accord, le consentement de la personne pour utiliser ses informations pour prospecter. Sans ce consentement exprès les organismes n’ont pas le droit d’effectuer des actions de prospections commerciales avec les informations qu’ils ont pu obtenir. Pour avoir ce consentement les organismes doivent préciser la finalité du recueille d’informations, la durée et les personnes qui y ont accès.
- La possibilité d’obtenir ses données à chaque moment, le principe de transparence. Une personne ayant donné son consentement peut demander à l’entreprise un droit d’accès aux données collectées. En découle de cela un droit de rectification qui permet de modifier des informations inexactes sur la personne lors du traitement ou de la collecte des données. Chaque individu a donc un droit de regard sur les données à caractère personnel qu’un organisme détient sur sa personne.
- D’autres droits accordés aux individus sont également régis dans ce nouveau règlement comme un droit d’opposition à tout moment dans le traitement des données. Ou encore un droit à l’effacement qui concerne principalement le fait de retirer son consentement opt-in à l’entreprise l’interdisant alors d’utiliser les données à caractère personnel sur ce même individu.
Les réclamations et les sanctions
Si un individu se sent lésé dans l’utilisation de ses données à caractère personnel par un organisme quel qu’il soit, il peut se tourner vers la CNIL. La CNIL va recevoir les réclamations et l’individu va pouvoir déposer une plainte contre l’organisme visé.
En cas de non-respect de la réglementation générale sur la protection des données, la CNIL peut infliger de lourdes sanctions conduisant à des amendes administratives. Ces amendes administratives sont de deux ordres.
La première en cas de disfonctionnement face à la réglementation européenne, l’amende peut s’élever jusqu’à 10 millions d’euros et pour une entreprise jusqu’à 2% du chiffre d’affaires annuel mondial. Dans le second cas si l’infraction est jugée comme grave, les sanctions sont alors encore plus lourdes.
Allant de 4% du chiffre d’affaires annuel mondial pour une entreprise ou 20 millions d’euros d’amende. En fonction de chaque pays membres de l’Union Européenne, des sanctions pénales peuvent être prononcées.
En France le Code pénal peut punir à hauteur de 5 années d’emprisonnement et de 300 000 euros d’amende s’il y a un détournement, une transmission, un traitement des données à caractère personnel non conforme.
Enfin, il est important de préciser que les organismes en dehors de l’Union Européenne doivent également respecter la RGPD s’ils traitent des données de citoyens de l’UE.
Ainsi une entreprise américaine qui collecte, traitement des données à caractère personnel de ressortissants de l’UE devra se soumettre à la réglementation générale sur la protection des données.
Légalité et Growth Hacking
Pour revenir au Growth Hacking cela a un impact non négligeable notamment sur l’acquisition si l’on reprend le FrameWork AAARR.
Si on prend l’exemple du web scraping, utilisé par de nombreux Growth Hacker pour générer des données voire même pour collecter des adresses emails, cela devient encore plus un hack de Black Hat et expose l’entreprise à de plus lourdes sanctions.
Il reste toutefois encore des possibilités pour les Growth Hacker de collecter des données utilisateurs. Aujourd’hui même avec la mise en application de la RGPD, certains points ne sont pas encore réglés pour les données à caractère personnel.
En effet des outils comme Facebook et encore plus LinkedIn permettent d’obtenir des contacts et par conséquent des données à caractère personnel sur de possibles prospects. En se connectant (pour LinkedIn) et avec un Like (sur Facebook) la personne donne une première forme de consentement et ces données peuvent donc être utilisées dans une forme de Grey Hat.
Un autre point qui va lourdement impacter les stratégies de Growth Hacking et le métier de Growth Hacker va être le temps nécessaire pour être conforme à cette nouvelle règlementation.
Pour les grands groupes et les organismes publics RGDP exigent la désignation d’un Data Protection Officer qui veille à la protection des données collectées pour l’organisme. Les stratégies de Growth Hacking sont le plus généralement appliquées dans un environnement de startup, de ce fait avec de faibles moyens humains et financiers.
La gestion des données personnelles du fait des droits des individus que nous avons vus précédemment va réduire le temps dédié à la croissance de l’entreprise. Désormais, c’est au Growth Hacker de trouver et tirer des avantages de cette nouvelle règlementation.
Parmi les possibilités d’études, on peut noter que cette règlementation permet d’augmenter la confiance dans les entreprises qui respectent RGPD par conséquent une possibilité de meilleurs retours sur investissement. L’état d’esprit de créativité et d’innovation du Growth Hacking prend alors tout son sens.
