Qui ?
Morgane Castanier, Directrice de la data et du CRM chez SFR, Florence Bonnet, Experte en protection de données chez CIL Consulting et Etienne Drouard, avocat spécialisé en droit de l'information et des réseaux de communication chez K&L Gates.
Quoi ?
Le compte-rendu du Petit Club au Partech Shaker du 18 janvier 2017 : "Shaker la data", en partenariat avec Extreme Sensio, Mondadori Publicité, Synthesio et TNP Consultants, pour faire le point sur les nouvelles réglementations en matière de données et de cookies.
Comment ?
1- Que modifie le projet "ePrivacy" ?
Le projet "ePrivacy" de Bruxelles, veut bousculer toute la réglementation sur les cookies et pourrait ébranler l'industrie de la publicité en ligne. Dans le projet de règlement publié le jeudi 12 janvier par la Commission européenne, exit les bandeaux d'information, les consentements implicites ou explicites pendant la navigation et autres boites à cookies. Le texte veut modifier radicalement le régime d'application des cookies. Dans ce nouveau cadre, le navigateur devient le siège d'acceptation ou non des cookies : dès l'installation du navigateur par un individu, ce dernier choisira de les accepter une bonne fois pour toute. Ou non.
Le navigateur va redevenir le centre du choix de l'acceptation des #cookies lors de l'installation d'une version #petitclub @petit_web #CX pic.twitter.com/So4YBdiIF3
— olivierlaborde (@labordeolivier) January 18, 2017
2- Quel est le futur des cookies dans le cadre du projet "ePrivacy" ?
La question sur le consentement aux cookies dans le navigateur sera formulée par l'éditeur du navigateur, soit Apple (via Safari), Google (via Chrome) ou Microsoft (via Internet Explorer et Edge)... qui ont chacun d'autres moyens d'identifier les internautes que les cookies. "La manière dont elle sera formulée ne sera pas discutée au Parlement européen. Il va falloir traverser l'Atlantique à la nage pour voir comme sera interpréter le régime de consentement" précise Etienne Drouard.
Le projet prévoit quand même la possibilité de déposer un cookie malgré le refus de l'utilisateur, à la condition qu'il améliore l'expérience de navigation. Les cookies d'authentification, du panier d'achat ou de paramétrage d'affichage pourraient donc passer entre les mailles du filet. En revanche, les cookies publicitaires et ceux de recommandation de produits (type Amazon) ne sont pas nécessaires à l'expérience de navigation.
3- Qui est impacté par le projet "ePrivacy" ?
Tous les acteurs de l'industrie de la publicité. En moyenne, une page web accueille 5 ou 6 cookies fonctionnels et souvent 70 à 80 cookies déposés par les différents intermédiaires de la chaîne de la publicité programmatique. Depuis 2009, l'IAB répertorie sur la plateforme YourOnlineChoice la plupart des acteurs du secteur utilisant des cookies comportementaux.
Déjà, en France, dans le cadre de la réglementation actuelle, la CNIL a durci sa position vis-à-vis des cookies en demandant un consentement par acte de navigation : un acte par lequel la personne montre qu'informée de la présence des cookies, elle poursuit sa navigation. Inquiets, les éditeurs ont alerté l'institution en mars 2016 et sa présidente, Isabelle Falque-Pierrotin, a déclaré un moratoire sur le sujet. "On est sorti de ce moratoire le 5 décembre 2016. Les éditeurs ont marqué un point en expliquant que ce principe de poursuite de navigation était pénalisant. Maintenant, nous avons 6 mois pour nous battre sur le nouveau texte, qui entre en vigueur en mai 2018, en même temps que la nouvelle réglementation européenne sur la protection des données," ajoute l'avocat.
4- Quelles sont les données concernées par la nouvelle réglementation européenne sur la protection des données (GDPR) ?
En parallèle de la modification de la réglementation sur les cookies, les entreprises doivent se préparer à un autre bouleversement : le 4 mai 2016, le nouveau règlement européen sur la protection des données personnelles (GDPR) est paru au journal officiel de l'Union européenne. Il entrera en application en 2018.
Les données sont classées en trois niveaux : anonymes, pseudonymes et les données à caractère personnel. La GDPR ne s'applique pas aux données anonymes, " qu'on ne peut corréler à aucune information. En somme, dans cette acception, elles n'ont aucun intérêt", note Etienne Drouard. En revanche, la nouvelle réglementation s'applique aux données à caractère personnel et aux pseudonymes, ou "quasi-identifiants". Ces dernières permettent de cerner indirectement un individu en corrélant des informations sur son comportement ou des coordonnées de localisation et de dates.
#eprivacy les grandes entreprises sont-elles prêtes ? #CIL et #DPO de nouvelles fonctions pour gérer ce sujet sensible #petitclub @petit_web pic.twitter.com/XbJoH0kene
— olivierlaborde (@labordeolivier) 18 janvier 2017
5- Comment les entreprises peuvent-elles se préparer à la mise en application du règlement ?
Le sujet est brûlant dans les entreprises, à tel point que le cabinet de conseil TNP a décidé de se rapprocher du spécialiste CIL Consulting, qui met les entreprises en conformité avec la CNIL et le GDPR. Florence Bonnet, sa dirigeante, explique : "Le sujet doit être porté par la direction, car cela implique des ressources et une sensibilisation de tous. Se doter d'un CIL, un correspondant informatique et libertés, en interne ou en externe est la première étape pour préparer le futur". Et ce, avant l'arrivée d'un "Data Protection Officer", un profil bientôt incontournable dans les entreprises qui font du traitement de données personnelles.
Chez SFR, Morgane Castanier est Directrice de la Data et du CRM depuis janvier 2015. Elle gère les bases de données d'une vingtaine de millions de clients SFR, Numéricable, Virgin Mobile et Red. A son arrivée, elle a missionné une personne de son équipe pour s'occuper des échanges avec la CNIL. "Notre premier travail est de faire de la veille, rejoindre les instances et adhérer aux associations qui parlent du sujet, pour faire ensuite de la pédagogie en interne. La menace de sanctions à hauteur de 20 millions d'euros ou 4% du CA nous a permis de bénéficier d'une écoute attentive."
Un CIL a été nommé et va tenir les registres pour chacune des douze entités commerciales du groupe. "Nous sommes en marche mais il reste beaucoup de débats." Les deux principaux sujets pour Morgane Castanier concernent l'interprétation des textes et l'acceptation du risque à l'intérieur de l'entreprise lié aux flous juridiques. "Les façons d'interpréter les textes nous permettront ou non certaines pratiques".
Jusqu'à présent, les sanctions étaient plutôt de l'ordre de 10 000€, avec un record à 150k€ pour Google #petitclub
— Benoit Zante (@bzante) 18 janvier 2017
6- Quel sont les impacts de la GRPD sur les activités des annonceurs ?
Dans beaucoup d'organisation, l'heure est pour l'instant à l'inventaire des données personnelles et des modalités de leur traitement. "Certains principes de la loi ne sont que rarement respectés, comme la durée de conservation", indique Florence Bonnet. "La majorité des entreprises collectent et stockent sans limitation." Des chantiers sont donc à prévoir du côté de la DSI pour mettre en place les obligations de "Privacy by Design" et notamment le principe de portabilité des données et le droit à l'oubli... Le Règlement européen prévoit par exemple que chaque utilisateur puisse demander le transfert de ses données d'un prestataire à un autre. Les entreprises devront élaborer une gouvernance de la protection des données.
Pour SFR, l'enjeu de la nouvelle réglementation est la collecte massive des "opt-in", le consentement explicite de ses clients sur les données de consommations télécom, de données de géolocalisation et les opt-in tiers. "Pour massifier la collecte des opt-in, nous visons les services qui sont quotidiennement utilisés par nos clients". Il faut repenser la manière dont nous parlons aux clients : le paragraphe d'information le plus synthétique de SFR fait plusieurs lignes. Nous allons travailler sur l'ergonomie et les formulations" explique Morgane Castanier.
Elle suit aussi de très près les débats sur le profilage, c'est à dire, selon la définition de l'Union Européenne, "l'action de sélectionner automatiquement un segment client pour lui faire une proposition de nature à changer ses droits par rapport aux autres clients". Le profilage est à la base du CRM et du marketing client, mais "si ce profilage est sanctionné, nous ne serons plus en mesure de proposer des forfaits moins chers à certains segments de clients de manière automatique."
7- A qui vont profiter les nouvelles réglementations ?
Le règlement européen sur les cookies a été pensé comme une mesure contraignante pour les acteurs américains de l'ad-tech, mais dans la réalité, la collecte des opt-ins des clients va devenir la voie obligée. Or les entreprises en contact permanent avec leurs utilisateur, comme les GAFA, auront bien davantage d'occasions de collecter ces opt-in. La GDPR pourrait par contre être plus contraignante pour eux : "n'oublions pas que le GDPR concerne toute organisation où qu'elle se trouve, dès lors qu'elle traite des données de personnes situées dans l'UE. Les géants du net sont donc particulièrement concernés par les risques de sanction de 4% de leur CA," remarque Florence Bonnet.
Pour Etienne Drouard, ces nouvelles règles bénéficient avant tout aux internautes, mais se heurtent à des limites. Les rédacteurs du projet "ePrivacy" s'inspirent de la culture allemande, une culture politique où la protection des données est sensible, marquée par les années de dictature et de surveillance généralisée en Allemagne de l'Est. "Ce règlement sert la vie privée, mais pas la concurrence. Il renforce la position dominante de certains. L'avenir de la protection des données personnelles, c'est le droit de la concurrence" prédit l'avocat.
Dans ce combat, face à Google et Facebook, qui dépensent respectivement 4,5 et 1,8 millions d'euros en lobbying au niveau européen (Google a rencontré 124 fois des membres de la Commission en l'espace de deux ans), les entreprises françaises se regroupent au sein d'associations pour évoquer les sujets, les interprétations et les risques business, comme l'ADPO, l'Association des Data Protection Officers par exemple qui fédère les acteurs des télécoms, mais aussi ceux du secteur bancaire et des assurances.
Et si malgré toutes ces explications, vous n'avez toujours rien compris, la Radio Télévision Suisse a réalisé un jeu vidéo très réussi pour exposer les enjeux des données personnelles.
Monelle Barthélemy
