Le 25 mai 2018, le RGPD entrera en vigueur et quiconque collecte, stocke et traite des données sur les résidents de l’UE se retrouvera sous le feu des projecteurs. Tous devront se conformer à cette réglementation, sous peine de sanctions.
Les conséquences sont suffisamment graves pour faire basculer l'ensemble du secteur de la technologie publicitaire, qui dépend fortement des données des utilisateurs, qui auront désormais besoin de leurs données. explicite consentement – dans une panique silencieuse. Cela inclut les éditeurs qui monétisent leur public européen par le biais de la publicité.
Il reste trois mois avant la date limite, il est temps de travailler sur votre propre plan de conformité. Pour commencer, Voici une liste de contrôle de conformité au RGPD lisible par l'homme pour les éditeurs.
Ce dont vous aurez besoin:
- Base légale:En gros, un Info de contact. Raison de continuer à faire ce que vous (et vos « sous-traitants ») faites avec les données des résidents de l'UE. Les bases légales comprennent le consentement explicite, l'intérêt légitime (qui n'est PAS une carte de sortie de prison gratuite, arrêtez d'espérer), la base contractuelle, l'obligation légale, etc.
Lectures recommandées: Base légale du traitement (Source : ICO.org Royaume-Uni)
- Liste de fournisseurs: Chaque « processeur de données » (fournisseurs de technologies publicitaires, ainsi que plateformes d'analyse et de gestion des balises) sur votre site aura besoin du consentement explicite de l'utilisateur pour continuer à utiliser ses données. Le « contrôleur de données » (éditeur) doit obtenir ce consentement. Si vous ne savez pas qui collecte des données via vos pages, utilisez un outil comme Evidon Trackermap.
- Avis de confidentialité : Ou avis de consentement, si c'est votre base légale. C'est là que vous vous engagez à respecter le principe de transparence du RGPD en indiquant clairement aux visiteurs ce à quoi ils renoncent (données), pourquoi (votre base légale), à qui (tous les processeurs avec lesquels vous partagerez ces données), combien de temps ces données seront conservées, etc.
- Compétences en tenue de dossiers : Une grande partie de la conformité au RGPD consiste à conserver des enregistrements de ce que vous faites avec les données dont vous disposez pour démontrer votre responsabilité.
- Une équipe de développeurs et un avocat/consultant RGPD pour approuver votre plan de jeu avant de commencer à le mettre en œuvre.
Une fois que vous avez compris tout cela, procédez aux étapes suivantes :
1. Réviser et documenter : activités relatives aux données, au traitement et au partage
Cela peut paraître drôle, mais c'est l'une des étapes les plus simples pour se mettre en conformité. Et ce n'est pas facultatif. Richard Lam, qui travaille sur le projet de conformité au RGPD de son organisation, déclare :
Le RGPD exige la tenue de registres complets. Il est donc important de tout documenter : quelles données personnelles vous traitez et sur quelle base légale vous vous basez. Documentez le déroulement du processus de traitement des données personnelles : où elles sont stockées, qui en a le contrôle, avec qui elles sont partagées, etc. Ensuite, formalisez un processus au cas où vous recevriez une demande de « droit à l'effacement ».
– Richard Lam, responsable des opérations programmatiques et publicitaires, Network-N
L'objectif de ces enregistrements est de montrer que vous êtes responsable des données au sein de votre organisation. Cela dit, cela présente également l'avantage supplémentaire de vous aider à identifier ce qui doit être fait et où afin d'être conforme au RGPD avant la date limite.
2. Mettez à jour votre avis de confidentialité
La première règle du RGPD est de parler de vos habitudes de collecte et de traitement de données avec les visiteurs honnêtement.
Afin que le traitement soit équitable, le responsable du traitement (l’organisme en charge du traitement des données) doit mettre certaines informations à la disposition des personnes concernées (les personnes physiques auxquelles les données se rapportent) afin de continuer à utiliser leurs données.
– ICO.org Royaume-Uni
Cela s'applique que vous obteniez les données directement de la personne concernée (votre visiteur) ou par le biais d'accords de deuxième ou de troisième parties. Tant que les données dont vous disposez proviennent d'un résident de l'UE, vous DEVEZ lui divulguer :
- qui est le responsable du traitement des données ; pour mémoire, il s'agit de l'éditeur,
- pourquoi leurs données doivent être traitées ;
- qui les traitera (avec qui elles seront partagées),
- Toute autre information qui devrait être divulguée dans un esprit de transparence, comme l’effet dudit traitement (« suivi en ligne »), la manière dont fonctionnera la collecte des données (« cookies sur votre appareil »), etc.
Lectures recommandées: Bons et mauvais exemples de déclarations de confidentialité (Source : ICO.org Royaume-Uni)
Les éditeurs constateront que pour que leur système publicitaire continue de fonctionner comme il le fait, ils auront besoin consentement comme base légale. La bonne nouvelle est que cette base couvrira également la conformité avec une directive ePrivacy mise à jour, qui devrait entrer en vigueur le même jour que le RGPD (même si les chances que cela se produise semblent minces).
Pour être valide, le consentement DOIT comporter les adjectifs suivants : donné librement, spécifique, éclairé, détaillé, volontaire et sans ambiguïté. Dans le même ordre d'idées, le silence, les cases pré-cochées ou l'inactivité ne comptent PAS comme un consentement.
Permeter (un fournisseur de consentement) a publié un modèle utile pour un avis de consentement conforme au RGPD :
Il faut ensuite s'assurer qu'une fois donné, le consentement est également facile à retirer. Selon Richard Lam :
Vous envisagez de mettre en œuvre une méthode de double opt-in. Je pense que les éditeurs de toute taille disposant d'une équipe/personne de développeurs active devraient être en mesure de créer quelque chose qui fonctionne en interne. C'est ce sur quoi nous travaillons nous-mêmes, et je sais que quelques grands éditeurs comme The Guardian et News UK font la même chose. Si vous n'avez pas de développeurs, vous pouvez toujours faire appel à un fournisseur de consentement.
Si vous ne possédez pas et n'exploitez pas les sites, mais que vous disposez des droits publicitaires sur ceux-ci, vous devrez mettre en œuvre votre avis de consentement sur l'ensemble du réseau, y compris les sites que vous ne possédez pas/n'exploitez pas, mais sur lesquels vous disposez des droits publicitaires exclusifs. Assurez-vous qu'une désinscription granulaire sur un site est mémorisée sur tous les sites Web de ce réseau.
Veuillez noter que vous aurez besoin de l'autorisation d'un parent ou d'un tuteur. vérifiable consentement à la collecte et au traitement des données des enfants de moins de 16 ans (cela peut être abaissé à un minimum de 13 ans au Royaume-Uni). La transparence s'applique également aux enfants, votre avis de confidentialité doit donc être rédigé dans un langage que les enfants comprendront.
3. Finalisez ce que vous ferez lorsque vos utilisateurs exerceront leurs droits RGPD
Comment réagiriez-vous si quelqu'un demandait la suppression de ses données personnelles ou l'accès à celles-ci ? Vos systèmes peuvent-ils vous aider à localiser et à supprimer les données d'un utilisateur dans un délai de trente jours ?
Lecture recommandée: Droits individuels et sous-sections (Source : ICO.org Royaume-Uni)
Richard Lam partage le processus mis en place par son équipe,
C'était la partie la plus facile à cocher de notre liste de contrôle, car elle reflète les directives relatives aux demandes d'accès aux données (SAR) actuellement en vigueur en vertu de la loi sur la protection des données.
Nous prévoyons de mettre en place un formulaire de contact sur notre site Internet d'entreprise par lequel les utilisateurs pourront nous contacter. La demande est adressée à une personne centrale qui sera responsable des demandes de SAR et d'effacement de données. Nous envoyons ensuite à l'utilisateur un formulaire à remplir, il fournit ensuite une pièce d'identité avec le formulaire complété et signé, et nous le traitons.
Étant donné que le consentement doit être « facilement retiré », ce formulaire de contact sera également lié à toutes les politiques de confidentialité de nos sites Web détenus et exploités.
N'oubliez pas que chaque fois que l'utilisateur demande à accès leurs données, vous devrez fournir les données personnelles dans « une structure couramment utilisée et sous une forme lisible par machine » sans frais (sauf si la demande devient répétitive) et dans un délai de trente jours.
4. Prévenir et signaler les violations de données
C'est ce qui laisse perplexe la plupart des acteurs de la chaîne d'approvisionnement. Dans un système aussi labyrinthique que programmatique, où les données sont collectées et transmises sans tenir compte de préoccupations futiles comme l'origine ou individuels droits – Comment êtes-vous censé empêcher la fuite de données ??
La complexité de Lumascape ne sera pas prise en compte dans le cadre du RGPD. Shubham Grover, spécialiste produit chez AdPushup, décrit ce que les éditeurs peuvent raisonnablement faire pour prévenir et se protéger contre les fuites de données :
- Ne permettez jamais à un SSP d'ajouter des partenaires (pour répondre à la demande) de son côté sans votre consentement.
- Connectez-vous avec tous vos fournisseurs et partenaires technologiques et communiquez votre politique de données, c'est-à-dire vos attentes en matière de traitement des données, ce qui est autorisé ou non, etc.
- Examiner tous les accords et partenariats actuels en matière de partage de données. Réviser les contrats avec les partenaires à la lumière du RGPD.
- Supprimez toutes les données personnelles (telles que définies par le RGPD) avant de les traiter ou de les partager avec d'autres entités (comme Google Analytics ou Mixpanel).
- Incluez tous les fournisseurs qui collectent et traitent actuellement des données par votre intermédiaire dans votre avis de confidentialité.
Surveillez vos propriétés numériques pour vous assurer qu'aucune entité non autorisée n'écoute furtivement les données de vos utilisateurs. Sachez que « le fait de ne pas signaler une violation lorsque cela est requis peut entraîner une amende, ainsi qu'une amende pour la violation elle-même ».
Cela n’est peut-être pas infaillible à grande échelle, mais cela montre à quel point vous êtes réellement déterminé à protéger les droits à la confidentialité des données de vos visiteurs.
5. Évaluations de la confidentialité et du personnel
Vous avez presque fini.
En vertu du RGPD, le « respect de la vie privée dès la conception » est une exigence légale expresse pour ceux qui traitent les données des utilisateurs. Cela signifie que les PIA ou « analyses d'impact sur la protection des données » (DPIA) sont obligatoires dans les situations
- où une nouvelle technologie/plateforme est mise en œuvre ;
- lorsqu'une opération de profilage est susceptible d'affecter de manière significative des individus ; ou
- où il y a traitement de catégories particulières de données (à grande échelle)
Lectures recommandées: Réalisation d'une évaluation d'impact sur la vie privée : code de déontologie (Lien PDF)
Si votre évaluation conclut que le traitement des données présente un « risque élevé pour les personnes » et que vous ne pouvez pas gérer ces risques, vous devrez consulter l'autorité de contrôle du RGPD (AS) de votre État membre pour obtenir des conseils sur les mesures à prendre.
Je réitère que la réalisation d'analyses d'impact sur la protection des données dans les situations mentionnées ci-dessus est une exigence légale. C'est le moment idéal pour en faire une pratique organisationnelle. Pensez à nommer une personne qui sera responsable de la conformité de votre protection des données et de l'évaluation des risques.
Et c'est tout.
Que se passera-t-il une fois que le RGPD entrera en vigueur ? Il n'y a pas lieu de spéculer. N'oubliez pas que la confidentialité et le suivi étaient les principales préoccupations des premiers adblockers et qu'ils restent l'une des principales motivations à ce jour. Il est raisonnable de supposer que de nombreux visiteurs basés dans l'UE n'hésiteront pas à refuser tout suivi/cookie une fois qu'ils auront le choix.
Les éditeurs qui disposent de segments d’audience basés dans l’UE depuis des années ont raison de paniquer car, sans consentement, leurs données seront hors service. « Si j’étais à votre place, j’envisagerais sérieusement de vendre ces données », déclare Shubham. « Les DSP en auront cruellement besoin (sous forme hachée) pour créer des segments de ciblage contextuel qui seront prêts à payer plus cher que d’habitude (données d’extension d’audience). »
Avec l’essor du ciblage contextuel, les éditeurs spécialisés pourraient constater qu’ils sont moins susceptibles de perdre du rendement. Richard Lam, qui gère les opérations programmatiques et publicitaires pour un réseau vertical de jeux basé au Royaume-Uni, déclare : « Je peux voir les éditeurs de presse paniquer, surtout s’ils ont beaucoup investi dans le ciblage d’audience, la DMP et les data scientists. Ils avaient des centaines de pots d’audience différents pour le ciblage. Donc oui, je suppose que si j’étais à ma place, je me serais certainement effondré. »
Mais tout espoir n’est pas perdu. « À chaque malheur son côté positif. Certains utilisateurs accepteront les cookies. Ainsi, les données propriétaires deviendront de l’or pour les éditeurs », affirme-t-il.
Ressource:
ICO.org.uk Guide de préparation au RGPD en 12 étapes (Lien PDF)
Voici quelques lectures recommandées pour mieux comprendre le sujet :
- Une liste de contrôle GDPR pour ceux qui en ont assez des listes de contrôle GDPR
- À quoi ressemble la technologie publicitaire après le RGPD
- Chaîne de consentement RGPD : tout ce qu'un éditeur doit savoir
Shubham est un spécialiste du marketing numérique possédant une riche expérience de travail dans le secteur des technologies publicitaires. Il possède une vaste expérience dans le secteur du programmatique, dans la conduite de stratégies commerciales et de fonctions de mise à l'échelle, y compris, mais sans s'y limiter, la croissance et le marketing, les opérations, l'optimisation des processus et les ventes.
