Approche de Conversant à l’égard du Règlement général sur la protection des données (RGPD)

Daniel Shore, Privacy Counsel

5 mars 2018 16:42:00

ePD,
RGPD

Comprendre le RGPD

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018, dans l’objectif d’harmoniser la protection des données au sein des États membres de l’Espace économique européen (EEE), y compris les 28 États membres de l’Union européenne (UE), plus l’Islande, la Norvège et le Liechtenstein. Ce règlement remplace la Directive de l’UE sur la protection des données (Directive 95/46/CE).

Le RGPD vise à informer les consommateurs et à renforcer leur autonomie en leur accordant plus de transparence et de contrôle sur leurs données à caractère personnel. Il affectera les organisations dans le monde entier qui recueillent et/ou traitent des données à caractère personnel au sujet de personnes qui travaillent, se rendent ou résident dans l’UE, quel que soit le lieu où une organisation est située. La nouvelle règlementation affecte la manière dont les entreprises recueillent, conservent et suppriment les données à caractère personnel, et crée une responsabilité supplémentaire.

Nous sommes l’un des leaders du secteur, et nous travaillons en étroite collaboration avec Interactive Advertising Bureau Europe (IAB EU) pour établir des meilleures pratiques en matière de marketing numérique et prôner une expérience cohérente pour le consommateur en conformité avec le RGPD. Les concepts élémentaires suivants sont importants à comprendre :

Le RGPD élargit la définition des Données à caractère personnel

Chez Conversant et CJ Affiliate, nous ne recueillons ni ne conservons pas d’informations concernant une personne physique identifiée ou identifiable (PII). Cela signifie que nos données ne permettent pas directement d’identifier qui que ce soit (à savoir un nom, une adresse e-mail ou des données de facturation). Ceci dit, le RGPD élargit la définition des données à caractère personnel pour y inclure les données que nous recueillons.

Le RGPD introduit le terme de « pseudonymisation », qui correspond à un sous-ensemble de « données à caractère personnel ». Les pseudonymes sont des données qui ne permettent pas directement d’identifier une personne sans recourir à des informations supplémentaires. Ceci inclut les données qui peuvent être utilisées pour comprendre le comportement d’un consommateur (y compris les identifiants de cookies, les identifiants d’appareil, et les autres identifiants individuels).

Le RGPD recommande aux entreprises de recourir à la pseudonymisation des données à caractère personnel dans la mesure du possible, dans le cadre d’une approche de protection de la vie privée dès la conception, afin de veiller à ce que les entreprises ne recueillent que des données qui sont nécessaires, tout en protégeant la vie privée des consommateurs.

Collecte et traitement des données à caractère personnel dans le cadre du RGPD

Le RGPD prévoit six bases juridiques pour le traitement des données à caractère personnel. Les deux bases les plus pertinentes pour le secteur du marketing numérique sont l’« intérêt légitime » et le « consentement ». Pour les services que nous fournissons, l’intérêt légitime est une base juridique acceptable pour le traitement des données à caractère personnel.

Ceci dit, il existe une loi supplémentaire qui affecte également le traitement des données en ligne : la Directive ePrivacy (Directive 2002/58/CE). Selon cette loi (article 5, paragraphe 3), les personnes physiques doivent accorder leur consentement avant qu’une entreprise ne puisse lire ou écrire des informations depuis ou vers leur appareil, notamment la lecture et/ou l’écriture de cookies.

La Directive ePrivacy fait référence à la Directive de protection des données (Directive 95/46/CE) pour la définition du consentement. Le 25 mai 2018, la Directive de protection des données sera remplacée par le RGPD. Cela signifie que la définition du consentement au sens de la Directive ePrivacy fera référence à la définition du consentement selon le RGPD, qui impose que le consentement soit « sans ambiguïté ».

Le consentement « sans ambiguïté », selon la définition du RGPD, est nécessaire pour lire ou écrire des informations, notamment des cookies, depuis ou vers l’appareil d’un consommateur. L’intérêt légitime nous permet toutefois de traiter et conserver certaines données à caractère personnel recueillies par l’intermédiaire de ces cookies.

Conformément à ce qui précède, et à la lumière de ces changements à venir, l’IAB EU a créé un cadre pour permettre aux sociétés de publicité numérique de s’informer lorsqu’un consentement sans ambiguïté a été accordé. Cette connaissance partagée permet à toutes les parties impliquées dans une interaction avec le consommateur de savoir quand une demande de consentement est nécessaire, ce qui permet une expérience client plus consciencieuse (y compris le fait de ne demander le consentement que quand une ou plusieurs parties en ont besoin).

Compréhension du consentement « sans ambiguïté »

Comme indiqué plus haut, le consentement sans ambiguïté sera nécessaire pour lire ou écrire des informations depuis ou vers l’appareil du consommateur. Le consentement sans ambiguïté nécessite un acte positif et clair du consommateur. Le RGPD (point 32 du préambule) stipule que « le silence, les cases cochées par défaut ou l’inactivité ne peuvent pas… constituer un consentement. » Ultérieurement, le préambule stipule que le consentement peut être donné par une « conduite qui indique clairement dans ce contexte l’acceptation par le sujet des données du traitement proposé de ses données à caractère personnel. »

Cela signifie qu’en effectuant un acte, par exemple en cochant une case ou en cliquant sur un lien pour accepter, ou en continuant à naviguer, le consommateur accorde son consentement, tant qu’il est affiché de manière claire et évidente que ce consentement nous autorise à poser des cookies et à traiter des informations du consommateur, et mentionne les usages prévus. Les sociétés doivent fournir aux consommateurs la possibilité de révoquer leur consentement à tout moment.

Le consentement explicite est par contre nécessaire uniquement pour les usages sensibles des données à caractère personnel, notamment le traitement des données à caractère personnel sensibles mentionnées à l’article 9(1) du RGPD, qui incluent la couleur de peau ou l’appartenance ethnique. Un exemple de consentement explicite est une case cochée ou un bouton « J’ACCEPTE », et le consentement explicite est uniquement réputé avoir été recueilli lorsque la personne effectue l’acte particulier. Les versions antérieures du RGPD imposaient le consentement explicite en toutes circonstances, mais cela a été modifié dans la version finale. Il y a maintenant deux variations du consentement : le consentement sans ambiguïté et le consentement explicite.

Seul le consentement sans ambiguïté est nécessaire pour les services que nous fournissons.

Responsables du traitement et sous-traitants

L’article 4 du RGPD définit un « Responsable du traitement » comme une entité qui, seule ou conjointement avec des tiers, détermine l’objet et les moyens du traitement des données à caractère personnel. Un « Sous-traitant » est une entité qui traite les données à caractère personnel uniquement pour le compte du Responsable du traitement et uniquement selon les instructions du Responsable du traitement, comme indiqué à l’article 28.

Ces définitions déterminent quelles données une société peut traiter et les responsabilités que la société assume pour veiller à fournir aux consommateurs un contrôle suffisant de leurs données à caractère personnel. Tandis qu’il existe des responsabilités supplémentaires assumées par un Responsable du traitement, l’une des conditions essentielles est de donner aux consommateurs la possibilité de demander l’accès à leurs données à caractère personnel et leur suppression.

Nous sommes un Responsable du traitement et nous continuerons à proposer à nos clients des solutions de pointe centrées sur les données qui permettront de réaliser des résultats significatifs.

Notre engagement à l’égard du RGPD

Nous croyons aux principes de protection des données du RGPD et nous nous engageons à offrir plus de transparence aux personnes quant à la manière dont leurs données sont traitées.

La protection des données a toujours été un élément central de notre activité, et nous travaillons avec diligence pour assurer notre conformité au RGPD. Notre approche visionnaire met nos clients sur la voie d'un succès à long terme centré sur les données.

Nous fournirons à nos clients des options gratuites pour recueillir un consentement sans ambiguïté pour nous-mêmes, pour eux-mêmes et pour les fournisseurs supplémentaires. Nous considèrerons que le consentement est valide pendant 13 mois, à moins que le consommateur ne modifie ses préférences. Nous continuerons à fournir des technologies conformes au RGPD et, en tant que Responsable du traitement, nous acceptons l’entière responsabilité pour notre conformité au RGPD.

Nous encourageons nos clients et partenaires à examiner et comprendre leurs responsabilités dans le cadre du RGPD, car la conformité est une responsabilité collective. Nous continuerons à mener les efforts du secteur grâce aux meilleures pratiques en lien avec le RGPD, et en collaborant étroitement avec l’IAB EU, l’IAB UK, et les autres leaders du secteur. Si vous avez des questions ou des commentaires, veuillez nous contacter par l’intermédiaire de l’équipe chargée de votre compte.

Références supplémentaires :

Conversant et CJ Affiliate :