Protection des Données Nominatives Michel Bruley - Directeur Marketing & PR Teradata MB510151@teradata.com Confiance Confidentialité Sécurité Risques Protections Solutions Fondamental dans les Affaires

Domaines de la Vie Privée Toute personne a droit au respect de son intimité Domicile, Image d’une personne dans un lieu privé, Correspondances, Télécommunications, Paroles prononcées à titre privé ou confidentiel, Images vidéosurveillance (si elles sont constituées en fichier nominatif), Fichiers informatiques. Nul n ’est sensé ignoré la loi mais, je vais quand même vous rappeler les domaines de la vie privée régentés par la loi : Prendre en compte la dimension numérique (intégrer les lesgislation, données, sons, image, …) Quand on prend une photo on n’en connaît pas toujours par avance son utilisation. Noter que sur internet tt le monde peut être éditeur

Technologies Bons & Mauvais Aspects Canal Télévision Vidéo Technologie Logiciel Espion GPS ITV Biometrics Données Usage des logiciels Localisation Programmes vus Photos, films des visiteurs Intentions Diagnostic Maintenance Sécurité Logistique Program-mation Attitude Conséquences Connaissance utilisation des logiciels Suivi constant Identifier présence et préférences Suivi des visites WEB Téléphone Portable

Risques pour le Client Indiscrétions Fuites d’information Piratages Données fausses Pannes Malveillances Erreurs Usurpateurs Big Brother Que peut on connaître d’un client ? nom, prénom, adresses, âge, CSP,... ce qu’il a : son patrimoine mobilier et immobilier ce qu’il voudrait : ses projets (court, moyen, long terme) ses relations (qui il connaît et dans quel contexte ? études, loisir, travail,..) ses charges (nombre de personnes dans le ménage, mensualités,....) ses revenus (salaires, primes, héritages, ....) ses valeurs (ce qui compte pour lui, ses critères de satisfaction, ses goûts, ses loisirs) son évolution par rapport à un historique sa rentabilité passée et présente sa rentabilité potentielle à court, moyen et long terme Ce meilleur des mondes est-il sans risques ? 1°) Que peut-on connaître d ’un client ? En fait beaucoup de choses Cela dépend des secteurs d ’activité Informations issues des opérations, des transactions, Informations issues des dialogues (fdv, centre d ’appels, …) Informations déduites (corélation, comparaison, …) Tout le monde ne souhaite pas devenir un : « transparent customer » 2°) Que peut-il se passer qui soit désagréable ? - Les esclaves d ’internet on vous achète, on vous vend etc…vous valez x ou y dizaine € le 1000. L ’internet quand c ’est gratuit c ’est qu ’on vous espionne ou que l ’on vous a vendu ou que l ’on espère vous tondre, ...

Rapprochement d’informations Profil et Vie Privée Rapprochement d’informations Visites de sites web, Appels téléphoniques, Emissions de TV regardées Visites de pharmacies Décisions Prêt : refus pour risques, Emploi : non embauche par défiance, Jugement : ?? Profil Site sur le Sida, Appels de chez X Bar, Regarde du sport extrême Prescriptions médicales

Risques Entreprises Non respect de la loi = Sanctions pénales, Requête du stagiaire à xxx K€, Diffusion d’information par e-mail, 10 000 clients vous demandent les informations qui les concernent, Image de l’entreprise et niveau d’acceptation du marketing 1 to 1 : 61% sont favorables au marketing personnalisé, 79% trouvent le Télémarketing gênant, 50% souhaitent que les informations qui les concernent, ne soient pas partagées, diffusées au sein de l’entreprise dont ils sont client, 80% souhaitent que les informations restent au sein de l’entreprise dont ils sont client. Le e-commerce nécessite la confiance du consommateur ! Quelques exemples cf. la vue. Le niveau d ’acceptation est meilleur si l ’entreprise est explicite sur ses activités marketing (charte, notification, permission marketing, …) on passe de 50 à 25% qui refusent la diffusion interne, on passe de 80 à 33% qui refusent la diffusion externe.

Protection : les Principes Une organisation est responsable des données qu’elle gère, La collecte de données est autorisée pour des finalités définies et légitimes, Les données demandées doivent être pertinentes et proportionnées aux finalités, Dans tous les cas le client doit être informé de sa mise en fichier, Le client peut (sauf exceptions) s’y opposer, Les données ne peuvent être conservées au-delà de la durée nécessaire aux finalités, Cependant, le consommateur ne devrait pas être outre mesure inquiet car il existe des législations (Européenne ou par pays) qui en fait le protège. Sans rentrer dans un long rappel de la loi j’ai listé dans cette vue quelques principes : Retard de la France dans la mise en œuvre de la directive européenne 95/46/EC (prévu 98, première lecture texte Fr 2001) Discussion EU/USA en cours notion Safe Harbor (quid du devenir) L ’esprit général est la liberté de choix du consommateur ! Comment concilier liberté et droit public : Organiser les traces & la cybercriminalité - la constitution de fichiers que leur utilisations Dérogation pour la presse et les activités artistiques (atteinte au secret des sources) Cookies = non prévu dans la loi de 78 Spyware = non Click-stream analysis = collecter et utiliser des données sans le consentement = non Le client a un droit de contrôle de la qualité, de l’utilisation et un droit de correction, Aucune entreprise ne peut transmettre des données nominatives concernant un citoyen de l’union dans un pays ne respectant pas la Directive Européenne.

Points clés Consentement implicite / Consentement explicite, Données sensibles : Race/origine ethnique, Opinions politiques, Religion, Affiliation à un syndicat, Santé physique, mentale, Vie sexuelle, Condamnation, Utilisations non évidentes : Mailings, faxing, télémarketing, incessants, Cross-mailing à l’intérieur d’un groupe, Spam, Scoring, Diffusion interne d’informations nominatives, Ventes de données Quand on survole ce problème à 10 000 mètres tout semble sous contrôle grâce aux lois, mais de plus près il y a quelques nuances à faire, notamment au niveau de trois points : la notion de consentement, grande différence entre c et c explicite, vers une obligation du consentement explicite ? Impact important sur les possibilité de marketing direct et d ’e-messagerie (option positive ou négative). Quid du consentement d’un enfant (web) ? Quid de l ’utilisation caché d ’outil de profiling web pour : personnaliser les bannières ? Etc… Vers l ’opt in en France existe dans 4 pays Européens (ALL, Ital, …) les données sensibles , # d ’un pays à l ’autre, cf. étude Louis Harris, données médicales (futur gd progrès l’historique personnel et familial) les utilisations non évidentes, cross mailing par une autre division ou pour le compte de = # mailing on supporte développement du e-mailing (250% par an x 3ans) appel téléphonique moins apprécié (je peux accepter d ’être appelé pour des raisons opérationnelles, La Poste et Ft vous revendent déjà !?! Spam 18 états usa ont faits des lois vers permission de marketing et l ’opt in 200$ le 1000 d ’adresses opt in.

Comment Exercer ses Droits Pour faire cesser l’atteinte à sa vie privée (en cas d’urgence) saisir le juge des référés, Pour accéder aux fichiers, demander directement à l’organisme en question, sauf dans quelques cas : via la CNIL pour les RG, via la CNCIS pour les écoutes téléphoniques, via un médecin pour le dossier médical, Pour faire réparer un préjudice, demander des dommages et intérêts auprès du tribunal de grande instance (assistance d’un avocat obligatoire), Dans tous les cas demander à la CNIL de vous aider en cas de doute sur la démarche. Internet donne un très grand pouvoir à l ’individu !! Et notamment pour attaquer les entreprises.

Dispositions Pénales Utiliser sans autorisation le Répertoire national d’identification des personnes physiques : 5 ans et 300K€, Entraver l’action de la CNIL : 1 an et 15K€, Ne pas respecter l’autorisation préalable pour les traitements d’informations nominatives : 3 ans et 45K€, Manquer de précaution pour le traitement des nominatives : 5 ans et 300K€, Utiliser un moyen frauduleux, déloyal, ou illicite pour la collecte de données nominatives ou traitement malgré l’opposition de la personne : 5 ans et 300K€, Conserver certaines données (origines raciales, opinions politiques, …) : 5 ans et 300K€, Dépasser la durée de conservation prévue lors la demande de création du système : 3 ans et 45K€, Détourner les informations de leur finalité : 5 ans et 300K€, Porter atteinte à la considération de quelqu’un ou à l’intimité de sa vie privée : 1 an et 15 K€, etc.. Lois différentes selon les pays : Pb des frontières et des appréciations # europe : règlement usa : auto régulation (Noter que te tissu associatif Fr est très # de celui des usa) cookies = relève au usa du domaine du Data Privacy et en France ne relève pas des données personnelles (à noter que 81% des sites Fr ne disent rien au sujet des cookies) USA les juges considèrent les chartres comme des contrats comment se défendre aux USA Le net = le 6° continent virtuel (200 millions d ’internautes ?) : Organiser les traces & la cybercriminalité l ’identité des internautes doit pouvoir être révélée (conservé les adresses IP de mes abonnés) La police a le droit d ’utiliser tt les fichiers publics ou privés conserver les traces des connexions 3 mois (bientôt 12 et peut être les données de navigation) conserver les éléments de facturation 5 ans (fisc) dans 90% des cas la preuve numérique sera contestable Un site est sensé conservé mais pas exploiter !! La CNIL a : donné 47 avertissements fait 16 notifications au parquet En France 99 = 3508 plaintes

Comment l’entreprise peut s’organiser ? Définir une politique de protection : Publier une charte d’engagement, Définir un responsable, Mettre en place des moyens pour : Notifier l’enregistrement et préciser l’usage, Gérer les choix individuels, Accéder et Corriger, Sécuriser. Au niveau d’une entreprise que faire ? Prendre conscience de la problématique et de son impact sur vos intentions ou pratiques en matière de GRC. Si vous êtes un distributeurs et que vous ne gérés pas de données nominatives, vous pouvez vaquer à vos obligations habituelles. Si vous voulez mettre en œuvre des approches comme celles décrites précédemment, attention vous pourriez : investir beaucoup d ’énergie et d ’argent pour gérer des données fausses, voir vos relations clients se dégrader au fur et à mesure que vous voudrez les renforcer, etc.. La bonne façon de faire : définir une politique de protection. Groupe de w (Juridique, Informatique, DG, RH) pour définir la charte, le grand défi est de savoir ce que vous faites déjà (de +/- souhaitables au travers de tous vos systèmes). P 3P = Platform for Privacy Preferences under development by W3C = World-Wide Web Consortium personnal profil profil web site protocol automatique d ’agrément sinon avertissement

Considérer la Protection de la Vie Privée comme une opportunité ! Développer et renforcer la relation avec le client en améliorant les services et la confiance, Affiner la connaissance du profil client avec son accord, dans le cadre de programme de fidélisation : Signalétique, style de vie, cycle de vie, moyens financiers, Intérêts, préférences, Profil de consommation (transactions, comportement), Ne pas se limiter à gérer les données de protection prévues par les textes, mais prendre l’initiative d’aller plus loin en fonction des spécificités du métier, Mettre en œuvre des restrictions plus fines : Restriction par type de produits ou centres d’intérêt, Restriction par type de moyens de contact. Enfin s ’il faut reconnaître le besoin de traiter cette problématique de la protection des données nominatives, il ne faut pas considérer cela comme un pensum, mais plutôt comme une opportunité de développer la confiance La confiance ne peut être que renforcer si l ’entreprise affiche ce qu ’elle fait en matière de Protection de la vie privée et de sécurité des systèmes. Le CRM est fondé sur : Privacy, Security, Trust !

Respecter la Vie Privée Gérer les options individuelles, Fournir une interface efficace pour accéder et corriger, Restreindre l’accès aux données nominatives et mettre en œuvre des niveaux de restriction : Rendre anonyme les données nominatives avant de les analyser, Décision automatique, etc …, Utiliser des systèmes d’analyse de données qui spécifient leurs règles, etc …, (e-robinson, …) Au delà de la charte il faut mettre en place des moyens pour réellement contrôler votre gestion des données nominatives. Option de consentement, La technique permet l’atteinte à la vie privée, mais aussi peut apporter des solutions de protection. Existe le fichier e-robinson !

Modèle de données intégrant la Confidentialité

Solution : Choix/Accès Vues Macros Gestion Marketing Diffusion Analyse Accès à un enregistrement Macro d’accès client Tables base clients Administration Système Vie Privée …. Vue Anonyme Restrictive/Anonyme Tables Vues, Macros Profils utilisateurs Sessions Rapports d’Audit Infrastructure Restrictive Standard Concrètement il s ’agit de maîtriser l ’utilisation, au sein de votre entreprise, des données clients que vous avez collectées. Il convient de donner à chacun de vos collaborateurs la vue adaptée qu ’il doit avoir, la diffusion de toutes les informations clients à tous vos collaborateurs étant a priori exclue. Vue standard partielle pour la gestion, vue 360° anonyme pour l ’analyse, etc.. Administration, Tout ceci est spécifique à chaque secteur, chaque entreprise. Modèle de Données Intégrant les choix des clients

Les Bonnes Adresses http://www.cnil.fr/ http://www.privacyalliance.org/ http://www.truste.com/ http://www.bbbonline.org/ http://www.privacyexchange.org/ http://www.privacyinternational.org/ Pour ceux qui voudrait approfondir : les bonnes adresses dont un essai de ncr autres alliances ISTPA, W3P Multiplication des lois sectorielles aux USA (Finance, Santé, Telco). A approfondir le domaine du web qui est le lieu de toutes les craintes du fait de nombreuses initiatives + ou - heureuses A noter que la législation européenne est antérieure au grand développement de l’internet, … Problème des mineurs et de l ’accord parental (par écrit, par téléphone). Trust E et BBB on line = régulation par le secteur privé des labels, il en existe ~100 dans le monde (trop ?)