Site icon Petit Web

L’Europe va-t-elle tuer les DMP ?

Qui ?
Fabien Remise, Head of Owned Media chez NetBooster.

Quoi ?
Une tribune, pour faire le point sur les enjeux du règlement européen en matière de collecte et de traitement de données personnelles.

Comment ?

Le règlement européen, applicable le 25 mai 2018, vise à harmoniser et renforcer les règles européennes en matière de collecte et de traitement de données personnelles. Il a notamment pour objectifs d’accroître la transparence (par exemple en renforçant le consentement lors de la collecte de données), de renforcer les droits des utilisateurs (droit à l’oubli, et à la portabilité des données), et de responsabiliser les entreprises (plus de déclarations préalables à la CNIL, mais un registre des traitements tenu par les entreprises, qui permettra de prouver leur caractère licite).

Sont exclues de cette réglementation les données strictement anonymes, qui ne sont pas ou plus rattachables à une personne physique.

Le mode opératoire concret est en cours de rédaction par la CNIL, et il est très attendu compte tenu de l’interprétation possible de certains articles.

Au premier abord, le texte européen semble imposer un consentement libre, spécifique, éclairé et univoque, donc similaire à un opt-in e-mail, pour toute collecte de données personnelles. Ce qui serait nettement moins permissif que les directives actuelles de la CNIL en matière de dépôt de cookie par exemple. Aujourd’hui, la CNIL considère qu’un internaute, informé par un bandeau et qui continue sa navigation, consent de manière implicite au dépôt de cookies.

Après avoir décrit les modalités du consentement, le texte prévoit aussi que ce dernier n’est pas nécessaire dans le cas où le traitement de données personnelles repose sur un intérêt légitime de l’entreprise. Une notion d'"intérêt légitime" dont les contours sont malheureusement restés relativement flous dans le texte final. D'après le règlement, le fait d'être client d’une entreprise suffirait par exemple à constituer un intérêt légitime pour celle-ci, mais la "prospection" est également citée.

La CNIL aura tout intérêt à préciser les contours de cette notion d'"intérêt légitime", qui constituerait sinon une échappatoire assez facile à la nécessité de recueillir un consentement explicite.

Des sanctions qui peuvent aller jusqu'à 4% du CA de la société.

Les annonceurs devront adapter la façon dont ils collectent et traitent les données personnelles aux futures préconisations opérationnelles de la CNIL. De manière fidèle à l'esprit du règlement européen, ces préconisations accorderont probablement une grande place au devoir d'informer en amont les utilisateurs de la finalité des traitements. Les données ne pourront pas être stockées sans qu'un usage réel, immédiat et licite en soit fait (selon le principe de "Privacy by Design").

Pour s’assurer de l'application de ces règles, le texte prévoit que les entreprises nomment un Délégué à la protection des données. En cas de manquements, le règlement prévoit des sanctions progressives qui peuvent aller jusqu’à 4% du CA de la société.

La segmentation et le ciblage en CRM ou en Media pourraient être sérieusement impactés

Les acteurs ayant vocation à traiter des données pour le compte d’un annonceur ont une obligation de conseil et devront assister leurs clients dans la protection des données personnelles. A fortiori, elles ne devront pas promouvoir des méthodes qui ne respectent pas la nouvelle règlementation, comme des croisements de bases de données offline avec des pools de cookies tiers, dont l’une des sources n’aurait pas été constituée de façon licite au regard des nouvelles règles.

Dans l'hypothèse d’un opt-in strict pour le recueil des données, la segmentation et le ciblage en CRM ou en Media pourraient être sérieusement impactés par une baisse de volumétrie, dès lors que l’on souhaiterait croiser des données de navigation avec des données nominatives par exemple.

D’ailleurs, le règlement est relativement clair sur le fait que "crypter" ou même "hacher" une donnée personnelle ne lui enlèvera son caractère nominatif, que s’il est strictement impossible de rattacher cet identifiant à une personne physique par la suite. Donc anonymiser des individus en hachant leur adresse e-mail avec une clef MD5 (ou autre) dans une Data Management Plateform n’est pas suffisant pour s’affranchir des règles protégeant les données personnelles.

Par contre, ce nouveau cadre juridique n’a aucun impact sur l’utilisation de données comportementales 100% anonymes pour du ciblage publicitaire (retargeting display).

Même si les détails du mode d’application de cette nouvelle réglementation ne sont pas encore publiés par la CNIL, la nomination du Délégué à la protection des données peut être anticipée. Il pourra mener à bien un recensement de l’ensemble des données personnelles traitées, des éventuels profilages et croisements de données au sein de l’entreprise et chez ses sous-traitants. Il devra dès le 25 mai 2018 pouvoir apporter la preuve du caractère licite du traitement des données personnelles.

Il devra bien entendu suivre attentivement les prochaines publications de la CNIL pour mettre en œuvre les nouvelles procédures détaillées de recueil du consentement et intégrer la notion de "Privacy by Design" dans les développements de supports digitaux.

Cette réglementation va assurément dans le sens d’une meilleure protection des utilisateurs et c’est évidemment une bonne chose. On peut toutefois regretter que les probables divergences entre pays membres aient contribué à un flou juridique sur la nécessité ou non du consentement explicite. Car les modalités finales de consentement pourront avoir un impact important sur la masse critique de données personnelles disponibles pour certains types de croisements de données CRM ou Media. Et donc sur les investissements actuellement réalisés par les annonceurs en termes de plateformes Data pour réconcilier ces données.

Fabien Remise

Quitter la version mobile