Groupe de travail Data Leakage – 26 octobre 2017

La problématique des données personnelles collectées par les SDK Les pratiques et expériences des éditeurs présents Les recommandations en la matière 

 

La Proposition de Règlement ePrivacy: point dactualité 

 

Pour rappel, le projet de règlement ePrivacy, publié par la Commission européenne le 10 janvier, est actuellement dans la première phase de discussion au niveau européen. Le Parlement et le Conseil européen doivent chacun déterminer leur position sur le projet.

Au niveau du Parlement, la commission LIBE, saisie au fond, a voté en faveur du rapport de Marju Lauristin le 19 octobre dernier. Ce rapport va audelà de ce qui est strictement cessaire pour protéger la vie privée des internautes en prévoyant par exemple linterdiction du « cookies wall » et impose un paramétrage par défaut plus protecteur sur les navigateurs

Le Parlement va donc défendre la position très proconsommateur dans les négociations avec le Conseil et la Commission (trilogue)

Côté français, les avis divergent, avec dun côté la Culture et lÉconomie, et de lautre la Justice et la DGCCRF

Le GESTE et lUFMD continuent de soutenir la position interprofessionnelle dans le 

e de rendezvous institutionnels tant au niveau national queuropéen

SMART AUDIO ADVERTISING 

Cest dailleurs à loccasion de ces rendezvous qu‘il a été confirmé par la CNIL que le moratoire accordé sagissant du consentement préalable, et uniquement du consentement préalable, sera étendu jusquà ce que le texte de la Proposition de Reglement soit consolidé

Par ailleurs, le GESTE avance sur un projet de « login unique » lidée étant quune majorité des éditeurs rejoignent linitiative dès le départ. Lobjectif est dobtenir le consentement de lutilisateur tout en facilitant laccès et les procédures de connexion aux sites médias

La réglementation appliquée aux SDK: rappel, recommandations et prospectives 

Avec Corinne Thiérache, Avocat associé, Cabinet ALERION

Pour rappel, les SDK sont des kits de développement logiciels désignés par le sigle anglais signifiant « Software Development Kit ». Il sagit dun ensemble doutils daide à la programmation proposé aux éditeurs et aux développeurs dapplications mobiles

On recense plusieurs catégories de SDK qui présentent un intérêt majeur pour les éditeurs en leur permettant de mettre en oeuvre une traçabilité des applications mobiles concernées

Sagissant de la réglementation applicable, en France, nous devons nous référer à la délibération de la CNIL du 5 décembre 2013 relative aux cookies et autres traceurs en attendant ladoption du Règlement e Privacy

Les utilisateurs qui collectent directement ou indirectement des données personnelles sont responsables de traitement et doivent donc respecter la réglementation en vigueur en la matière

Ainsi, lutilisateur doit être informé par le responsable de traitement qui doit recueillir son consentement et lui offrir la possibilité de sy opposer à tout moment

La durée de validité du consentement de l’utilisateur est de treize mois maximum

Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies, chacun est responsable des obligations précitées, on parle alors de responsabilité distributive entre les acteurs

Il est recommandé aux éditeurs

De ne pas déposer ou lire des cookies sur le terminal dun utilisateur tant que celui ci na pas donné son consentement; Dinformer lutilisateur grâce à un bandeau dinformation ; De continuer à afficher le bandeau sur la page de lapplication tant que lutilisateur na pas poursuivi sa navigation

De mettre en place une page dédiée « en savoir plus » accessible sur toutes les pages du site

Pratiques et expériences des éditeurs présents Avec la participation de Grégoire Fremiot, VP Sales & Marketing, Mediarithmics

« Dans ce contexte de désintermédiation et de valorisation de la data, il ne faut pas oublier que cest avant tout léditeur qui est en relation directe avec lutilisateur et qui est responsable » précise Grégoire Fremiot. « Il est intéressant pour léditeur de comprendre toute la chaîne de distribution de la data et de savoir ce quil se passe si on collecte de la data pour le compte dun tiers. La data est un actif immatériel, traçable, et de nombreuses questions se posent aujourdhui » 

Sagissant de lactualité relative à la collecte de données géolocalisées valorisées par la suite, (articles publiés dans Numerama et le JDN), il est important de noter que cette situation est complexe pour léditeur qui nest pas forcément au courant et qui nest donc pas en mesure dexpliquer toutes les finalités de la collecte. En effet, léditeur na pas de visibilité sur lensemble de la chaine

De lavis général, grâce au RGPD, les prestataires se sentent plus concer notamment au niveau de la responsabilité. « En France, la CNIL ne parle pas de coresponsabilité pour les acteurs du marketing ciblé mais de responsabilité distributive en fonction du rôle de chacun, éditeurs et tiers (annonceurs, régies publicitaires) précise Maitre Corinne Thiérache. « Si le RGPD représente un coût, il doit être vu comme un investissement à terme. » 

« Il faut aujourdhui reprendre la main sur la valorisation de la data en instaurant un dialogue clair avec les internautes et en maîtrisant la data. Il y a une vraie réflexion juridique, technique et business pour les éditeurs sur ce sujet« , explique Grégoire Fremiot

Il est notamment conseillé aux éditeurs de faire un travail régulier de nettoyage des tags

Par ailleurs, si la finalité de la collecte change, il faut de nouveau informer lutilisateur et recueillir son consentement. En effet, celuici étant donné pour une finaliprécise, si celleci change, le consentement initialement donné tombe

Les éditeurs présents ont quant à eux soulevé plusieurs remarques et difficultés

Difficultés rencontrées par les opérationnels pour les transferts de données. Les soustraitants doivent sinvestir sur le sujet. Il est conseillé pour les CIL, et les futurs DPO, de travailler en binôme (juridique et technique) et davoir des relais au sein de lentreprise

La data est aujourdhui essentiellement stockée chez les intermédiaires. Des efforts sont fait pour insérer des clauses données personnelles dans les nouveaux contrats mais les prestataires ne sont pas toujours sensibilisés à ces questions

Il est important de sensibiliser les éditeurs sur le recueil du consentement sur les applications mobiles

En vue de passer la main au DPO, certains éditeurs réalisent de grands audits et revoient leurs contrats de soustraitance

Il est essentiel dêtre très transparent, notamment dans le cadre de la géolocalisation

Il y a une vraie problématique de durée de conservation des données qui doit être automatisée

Lutilisateur doit pouvoir retirer son consentement de façon simple, un outil doit donc être développé à la base de la collecte. Il faut montrer que les éditeurs ont une 

e solution à proposer que le paramétrage dans le navigateur