26 Oct Groupe de travail Data Leakage – 26 octobre 2017
– La problématique des données personnelles collectées par les SDK – Les pratiques et expériences des éditeurs présents –Les recommandations en la matière
La Proposition de Règlement ePrivacy: point d‘actualité
Pour rappel, le projet de règlement ePrivacy, publié par la Commission européenne le 10 janvier, est actuellement dans la première phase de discussion au niveau européen. Le Parlement et le Conseil européen doivent chacun déterminer leur position sur le projet.
Au niveau du Parlement, la commission LIBE, saisie au fond, a voté en faveur du rapport de Marju Lauristin le 19 octobre dernier. Ce rapport va au–delà de ce qui est strictement nécessaire pour protéger la vie privée des internautes en prévoyant par exemple l‘interdiction du « cookies wall » et impose un paramétrage par défaut plus protecteur sur les navigateurs.
Le Parlement va donc défendre la position très pro–consommateur dans les négociations avec le Conseil et la Commission (trilogue).
Côté français, les avis divergent, avec d‘un côté la Culture et l‘Économie, et de l‘autre la Justice et la DGCCRF.
Le GESTE et l‘UFMD continuent de soutenir la position interprofessionnelle dans le
e de rendez–vous institutionnels tant au niveau national qu‘européen.
SMART AUDIO ADVERTISING
C‘est d‘ailleurs à l‘occasion de ces rendez–vous qu‘il a été confirmé par la CNIL que le moratoire accordé s‘agissant du consentement préalable, et uniquement du consentement préalable, sera étendu jusqu‘à ce que le texte de la Proposition de Reglement soit consolidé.
Par ailleurs, le GESTE avance sur un projet de « login unique » l‘idée étant qu‘une majorité des éditeurs rejoignent l‘initiative dès le départ. L‘objectif est d‘obtenir le consentement de l‘utilisateur tout en facilitant l‘accès et les procédures de connexion aux sites médias.
La réglementation appliquée aux SDK: rappel, recommandations et prospectives
Avec Corinne Thiérache, Avocat associé, Cabinet ALERION.
Pour rappel, les SDK sont des kits de développement logiciels désignés par le sigle anglais signifiant « Software Development Kit ». Il s‘agit d‘un ensemble d‘outils d‘aide à la programmation proposé aux éditeurs et aux développeurs d‘applications mobiles.
On recense plusieurs catégories de SDK qui présentent un intérêt majeur pour les éditeurs en leur permettant de mettre en oeuvre une traçabilité des applications mobiles concernées.
S‘agissant de la réglementation applicable, en France, nous devons nous référer à la délibération de la CNIL du 5 décembre 2013 relative aux cookies et autres traceurs en attendant l‘adoption du Règlement e Privacy.
Les utilisateurs qui collectent directement ou indirectement des données personnelles sont responsables de traitement et doivent donc respecter la réglementation en vigueur en la matière.
Ainsi, l‘utilisateur doit être informé par le responsable de traitement qui doit recueillir son consentement et lui offrir la possibilité de s‘y opposer à tout moment.
La durée de validité du consentement de l’utilisateur est de treize mois maximum.
Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies, chacun est responsable des obligations précitées, on parle alors de responsabilité distributive entre les acteurs.
Il est recommandé aux éditeurs :
– De ne pas déposer ou lire des cookies sur le terminal d‘un utilisateur tant que celui ci n‘a pas donné son consentement; – D‘informer l‘utilisateur grâce à un bandeau d‘information ; –De continuer à afficher le bandeau sur la page de l‘application tant que l‘utilisateur n‘a pas poursuivi sa navigation;
– De mettre en place une page dédiée « en savoir plus » accessible sur toutes les pages du site.
Pratiques et expériences des éditeurs présents Avec la participation de Grégoire Fremiot, VP Sales & Marketing, Mediarithmics.
« Dans ce contexte de désintermédiation et de valorisation de la data, il ne faut pas oublier que c‘est avant tout l‘éditeur qui est en relation directe avec l‘utilisateur et qui est responsable » précise Grégoire Fremiot. « Il est intéressant pour l‘éditeur de comprendre toute la chaîne de distribution de la data et de savoir ce qu‘il se passe si on collecte de la data pour le compte d‘un tiers. La data est un actif immatériel, traçable, et de nombreuses questions se posent aujourd‘hui »
S‘agissant de l‘actualité relative à la collecte de données géolocalisées valorisées par la suite, (articles publiés dans Numerama et le JDN), il est important de noter que cette situation est complexe pour l‘éditeur qui n‘est pas forcément au courant et qui n‘est donc pas en mesure d‘expliquer toutes les finalités de la collecte. En effet, l‘éditeur n‘a pas de visibilité sur l‘ensemble de la chaine.
De l‘avis général, grâce au RGPD, les prestataires se sentent plus concer notamment au niveau de la responsabilité. « En France, la CNIL ne parle pas de coresponsabilité pour les acteurs du marketing ciblé mais de responsabilité distributive en fonction du rôle de chacun, éditeurs et tiers (annonceurs, régies publicitaires) précise Maitre Corinne Thiérache. « Si le RGPD représente un coût, il doit être vu comme un investissement à terme. »
« Il faut aujourd‘hui reprendre la main sur la valorisation de la data en instaurant un dialogue clair avec les internautes et en maîtrisant la data. Il y a une vraie réflexion juridique, technique et business pour les éditeurs sur ce sujet« , explique Grégoire Fremiot.
Il est notamment conseillé aux éditeurs de faire un travail régulier de nettoyage des tags.
Par ailleurs, si la finalité de la collecte change, il faut de nouveau informer l‘utilisateur et recueillir son consentement. En effet, celui–ci étant donné pour une finalité précise, si celle–ci change, le consentement initialement donné tombe.
Les éditeurs présents ont quant à eux soulevé plusieurs remarques et difficultés :
– Difficultés rencontrées par les opérationnels pour les transferts de données. –Les sous–traitants doivent s‘investir sur le sujet. –Il est conseillé pour les CIL, et les futurs DPO, de travailler en binôme (juridique et technique) et d‘avoir des relais au sein de l‘entreprise.
–La data est aujourd‘hui essentiellement stockée chez les intermédiaires. –Des efforts sont fait pour insérer des clauses données personnelles dans les nouveaux contrats mais les prestataires ne sont pas toujours sensibilisés à ces questions.
– Il est important de sensibiliser les éditeurs sur le recueil du consentement sur les applications mobiles.
– En vue de passer la main au DPO, certains éditeurs réalisent de grands audits et revoient leurs contrats de sous–traitance.
–Il est essentiel d‘être très transparent, notamment dans le cadre de la géolocalisation.
–Il y a une vraie problématique de durée de conservation des données qui doit être automatisée.
– L‘utilisateur doit pouvoir retirer son consentement de façon simple, un outil doit donc être développé à la base de la collecte. Il faut montrer que les éditeurs ont une
e solution à proposer que le paramétrage dans le navigateur.