Data
La réglementation sur la protection des données personnelles évolue, que ce soit en France ou en Europe. Les entreprises, notamment publicitaires, vont devoir s'organiser et se structurer pour être en conformité avec ces règles.

«La Cnil [Commission nationale de l'informatique et des libertés] multiplie ses contrôles, elle a même étendu son champ d’action à toute la chaîne de valeur publicitaire, ses amendes peuvent maintenant aller jusqu’à 3 millions d’euros, et la réglementation est encore en train de se renforcer.» A mesure que Valérie Chavanne, vice-présidente de l’IAB France (Interactive Advertising Bureau) déroule son exposé, mardi 20 septembre, un frisson parcourt l’assistance. Les deux cents personnes réunies dans cette salle de la Fédération nationale des travaux publics se raidissent dans leur fauteuil et dressent l’oreille. Il faut dire que la gestion des données personnelles devient un casse-tête pour les médias, agences, éditeurs de logiciels de traçage, et même pour les annonceurs, qui disposent tous d’un site web ou e-commerce. «Il y a en même temps l’adoption, en mai dernier, du règlement européen sur la protection des données personnelles, la promulgation prochaine de la loi pour une République numérique et, en parallèle, la réforme de la directive e-privacy, dite directive cookie de 1995», énumère encore l'avocate et ex-directrice des affaires juridiques et publiques de Yahoo. La pression monte, et tout le monde est preneur de repères pour s’y retrouver. La principale source d’angoisse, c’est l’incertitude juridique, avec la peur de se voir infliger une amende massive sans l’avoir vue venir. Alors, les cookies publicitaires passeront-ils l’hiver? Comment traçer les internautes en respectant la règle?  
 

Règles étendues aux e-mails et messageries instantanées

La chasse aux cookies publicitaires est ouverte par la Cnil. «Elle a élargi le champ de son contrôle au-delà des éditeurs de sites web, car elle a conscience que les cookies qui s’affichent sur un site proviennent de nombreux acteurs différents, complète Valérie Chavanne. Gare aux éditeurs de logiciels de traçage, ils peuvent être aussi sanctionnés aujourd’hui.»

Le sujet qui fâche, actuellement, c’est celui du premier cookie. Quand un internaute arrive sur un site web pour la première fois, un bandeau s’affiche pour obtenir son consentement quant à l’utilisation de cookies. Problème, avant même que l’internaute ait donné son accord, il est la plupart du temps déjà «tracé». La Cnil met la pression pour que l'opt-in soit vraiment respecté, hors quelques cas de cookies statistiques. Et ces règles devraient désormais s’appliquer aux e-mails et plateformes de messagerie instantanée, selon la loi pour une République numérique (article 34, II bis): «Avant d’analyser le contenu de la correspondance à des fins publicitaires, il y aura l’obligation de recueillir le consentement exprès de l’utilisateur, rappelle Isabelle Falque-Pierrotin. La publicité ne peut pas s’affranchir du secret de la correspondance.» Cette disposition devrait être appliquée par décret à partir 1er janvier prochain.
Et si le débat sur les cookies était déjà dépassé? Google a annoncé la semaine dernière qu’il allait concentrer ses efforts sur les «logs» plutôt que sur les cookies. Une façon plus efficace, selon le géant américain, de suivre les internautes sur tous les écrans, en ayant des informations fiables. Et qui ressemble au mode de fonctionnement de Facebook…

Nécessaire organisation des entreprises

Avec le règlement européen, qui sera applicable en mai 2018, l’opt-in par défaut ne sera plus possible. «L’action de l’internaute devra être positive et spécifique, et l’entreprise qui traite la donnée devra pouvoir apporter la preuve qu’elle a obtenu son consentement», note la présidente de la Cnil. En revanche, ce qui sera simplifié, ce sont les formalités. «Les formalités préalables de déclaration de fichiers sont supprimées dans la plupart des cas, avec un principe: la responsabilisation de l’entreprise, poursuit Isabelle Falque-Pierrotin. La donnée peut être utilisée, mais il faut que l’entreprise réalise sa propre analyse des risques sur son utilisation.» Il y a toutefois une exception pour «les données sensibles, de santé par exemple, souligne Anne-Sophie Mouren, avocate chez Pinsent Masons, spécialisée en technologie et médias. Dans tous les cas, les entreprises doivent être capables de prouver qu’elles sont en conformité, et donc doivent conserver leur traitement de données.» Une obligation de transparence qui va forcer les sociétés à s’organiser sérieusement. «D’autant que le règlement européen instaure l’obligation d’une traçabilité de la donnée, précise Isabelle Falque-Pierrotin. L’article 14 prévoit que l’on doit pouvoir dire la source d’où viennent les données quand on rachète des bases de données.»

«Nous travaillons beaucoup pour des enseignes et annonceurs qui cherchent à se constituer un capital data, explique Laurent Letourmy, cofondateur et CEO de l’éditeur de logiciels Ysance. On a tous besoin d’être rassurés avec les données que l’on confie aux marques. La loi ne fait que clarifier les choses. Et c’est normal que la Cnil renforce ses contrôles jusqu’aux éditeurs de logiciels.» Même constat optimiste de Yassine Belfkih, CEO de Fabernovel Data & Media: «La loi va globalement dans le bon sens. Nous sommes dans une situation où les internautes se protègent avec des adblocks et avec lesquels le dialogue est rompu.»  Selon Valérie Chavanne, de l'IAB, «l’ensemble de ces règles devrait inciter l’industrie à nommer un responsable des données personnelles et à mettre en place des formations en interne».

 

Lire aussi l'interview d'Isabelle Falque-Pierrotin, présidente de la Cnil : «La loi s'applique à tous les acteurs de la publicité».

Chiffres clés

450 à 500 contrôles effectués par la Cnil chaque année
10 à 15 sanctions prononcées
3 millions d’euros, montant maximal d’une amende de la Cnil aujourd’hui

 

Contrôles de la Cnil, mode d’emploi

La Cnil mène ses contrôles (450 à 500 par an) de trois manières: à distance (en ligne), sur place ou sur pièces (sur la base de documents). Quand il s’agit de bien comprendre le traitement des données personnelles d’une entreprise, l'organisme mène bien souvent des inspections in situ, sans prévenir les entreprises. «La plupart des contrôles importants combinent visite sur place et vérifications web», précise Isabelle Falque-Pierrotin. Les contrôles strictement en ligne portent principalement sur les failles de sécurité.

 

 

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.