Publicité en ligne et données personnelles Actualités juridiques PARIS • 7 mars 2017 Union des Annonceurs 53, avenue Victor Hugo - 75 116 • PARIS Tél : 01 45 00 79 10 • Fax : 01 45 00 55 79 www.uda.fr Support de présentation orale – Laureline FROSSARD – Responsable juridique UDA
NOUVEAU DECRET RELATIF AUX PRESTATIONS DE PUBLICITE DIGITALE Achats médias : Obtenir la transparence en 2017 NOUVEAU DECRET RELATIF AUX PRESTATIONS DE PUBLICITE DIGITALE 24/06/16
Décret du 9 février 2017 relatif aux prestations de « publicité digitale » QUELLES PRESTATIONS ? Prestations de publicité ayant pour objet la diffusion de messages publicitaires sur un support connecté (article 1) SUR QUELS TERRITOIRES ? Lorsque le message est diffusé en France au bénéfice d’un annonceur français Exception : le vendeur d’espace basé dans un autre Etat membre soumis à des obligations équivalentes en application de sa loi nationale (article 4) QUAND ? A partir du 1er janvier 2018 (Article 5) QUI ? Emetteur du reporting dans les deux régimes juridiques (articles 2 et 3) : le vendeur d’espace au sens de l’article 23 de la loi c’est-à-dire un support ou une régie représentant un ou plusieurs supports. L’achat-revente reste interdit. 2 régimes juridiques Régime particulier (Article 3) Prestations digitales en achats programmatiques Campagnes de publicité digitale qui remplissent les conditions cumulatives suivantes : espaces non garantis, achetés aux enchères ou non, en temps réel, donnant lieu à la diffusion de messages publicitaires ciblés, achetés à la performance Régime général (Article 2) Prestations digitales hors achats programmatiques Contenu du reporting Une information à transmettre dans les deux régimes juridiques : le coût cumulé ou unitaire des espaces facturés : automatique pour le régime général, sur demande pour l’achat programmatique - date de diffusion des annonces, - emplacements de diffusion des annonces, - coûts des espaces publicitaires facturés (cf ci-dessus..) - exécution effective des prestations (univers de diffusion, contenu des messages, format, performance, coûts des espaces facturés (cf ci-dessus…) - qualité technique des prestations (outils, acteurs, objectifs qualitatifs..) - Protection de l’image et de la réputation de l’annonceur (diffusion sur des sites illicites, brand safety…) Engagements pris dans le cadre de charte de bonnes pratiques Et quelles sont les obligations de reporting des intermédiaires à l’achat (agence média, trading desk, DSP…) ? En matière d’achats programmatiques, les intermédiaires à l’achat, doivent permettre à l’annonceur d’avoir accès aux outils de compte rendu mis à sa disposition par les vendeurs d’espaces (article 3, dernier alinéa du décret du 9 février 2017) A noter : les agences médias ont également des obligations de reporting vis-à-vis de l’annonceur en application de leur contrat de mandat (article 1993 du code civil) et de l’article 23 de la loi Sapin en cas de modification des conditions de diffusion, obligation qui n’a pas été reprise dans le décret sur les prestations de publicités digitales
Décret du 09/02/17 relatif aux prestations de publicité digitale La loi Sapin est-elle étendue à la publicité digitale par ce décret ? La loi Sapin est-elle remise en cause par ce décret ? La loi Sapin est-elle applicable aux achats programmatiques ? Le décret crée-t-il un statut spécifique remettant en cause l’interdiction de l’achat- revente ? Quel est l’émetteur du reporting prévu dans le décret ? Que recouvre la notion de vendeur d’espaces publicitaires ? Une définition large de la notion de vendeurs d’espace peut-elle être retenue ? Les vendeurs d’espaces opérant depuis l’étranger sont-ils concernés par le décret ? Les vendeurs d’espaces opérant depuis l’étranger sont-ils exemptés en cas d’obligations contractuelles équivalentes ? Les intermédiaires à l’achat ont-ils des obligations de compte rendu ? Qui facture quoi à l’annonceur ? Quelques petits rappels De l’utilité du reporting prévu par le décret en matière de prestations digitales…
Une boîte à outils juridiques est à votre disposition sur notre site ! Elle contient : Un mémo synthétique sur le reporting digital Des schémas explicatifs Un modèle de contrat actualisé Un guide juridique dédié au reporting Un rappel des principes de la loi Sapin Des éléments sur le contexte international
UN NOUVEAU DECRET POUR LE PARRAINAGE TV (décret n°2017-193 du 15/02/17 portant modification du régime du parrainage télévisé) Article 18 : Les émissions télévisées parrainées doivent répondre aux exigences suivantes : I. - Leur contenu et leur programmation ne peuvent, en aucun cas, être influencés par le parrain dans des conditions susceptibles de porter atteinte à la responsabilité et à l'indépendance éditoriale de la société ou du service de télévision. II. - Elles ne doivent pas inciter directement à l'achat ou à la location des produits ou services du parrain ou d'un tiers et ne peuvent en particulier comporter des références promotionnelles spécifiques à ces produits ou services. III. - Le parrainage doit être clairement identifié en tant que tel au début, à la fin ou pendant l'émission parrainée. Cette identification peut se faire par le nom, le logo ou un autre symbole du parrain, notamment au moyen d'une référence à ses produits ou services ou d'un signe distinctif, sous les réserves suivantes : 1° La mention du parrain pendant le déroulement d'une émission, hormis les cas où elle intervient à l'occasion d'une interruption de cette émission, doit rester ponctuelle et discrète, se borner à rappeler la contribution apportée par celui-ci et ne peut se traduire par un slogan publicitaire ou la présentation du produit lui-même ou de son conditionnement ; 2° Lorsque le parrainage est destiné à financer une émission de jeux ou de concours, la remise aux particuliers des produits ou services du parrain à titre de lots ne peut faire l'objet d'aucun argument publicitaire. IV. - Dans les bandes-annonces, la mention du parrain doit rester ponctuelle et discrète et se borner à rappeler la contribution apportée par celui-ci.
La "plateforme présidentielle" de l'UDA Assouplir les contraintes réglementaires pesant sur certaines techniques de communication : en ouvrant à nouveau l’offre publicitaire de France Télévisions en soirée ; en alignant la réglementation française applicable aux techniques publicitaires audiovisuelles sur le cadre juridique européen (parrainage, ….) ; en supprimant la réglementation empêchant le développement de publicités personnalisées en matière audiovisuelle (géolocalisation, …). Maintenir le cadre législatif favorable à la transparence des relations économiques et des flux financiers du marché publicitaire instauré en 1993 tout en l’adaptant aux évolutions des modes de commercialisation des espaces publicitaires Endiguer le flux et alléger le stock des réglementations imposant des mentions d'informations présentes dans les publicités dans un souci de meilleure information du consommateur et de simplification opérationnelle pour les entreprises Créer les conditions optimales à la mise en œuvre d’un cadre juridique en matière de données personnelles stable et conforme au droit européen Ne pas entraver le développement de secteurs d’activités (produits alimentaires, jouets …) par une interdiction de communiquer ou un encadrement trop strict équivalent à une interdiction
La "plateforme présidentielle" de l'UDA (suite) Ne pas proposer de nouvelle taxe pesant sur les annonceurs ou leurs partenaires Mettre en place un crédit d’impôt « communication » (R&D, films publicitaires…) ou tout autre dispositif d’incitation fiscale en direction des annonceurs Développer un dispositif fiscal pour l'accompagnement du passage à l’échelle (scaling up) des entreprises (ETI…) proposant des innovations en matière de communication Renforcer les mécanismes d’incitation au mécénat et au parrainage Encourager le développement des initiatives et des outils pédagogiques d’éducation aux médias et à la publicité (programme Médiasmart, …) Sensibiliser les établissements et les acteurs de la formation relevant de l’Etat au rôle de la publicité et aux pratiques de communication responsable
Un cadre non encore stabilisé Evolutions du cadre juridique des données personnelles et de la publicité en ligne sous l’impulsion du droit européen Un cadre non encore stabilisé
Règlement européen pour la protection des données personnelles (GDPR) une application directe et uniforme au sein de tous les États membres à compter du 25 mai 2018
Règlement européen sur la protection des données Sanctions jusqu’à 20 millions d’€ ou 4% du CA annuel mondial total Règlement européen sur la protection des données personnelles De plus grandes responsabilités (accountability et preuves, analyses d’impact, privacy by design, privacy by default …) De nouveaux droits à organiser Des informations supplémentaires à délivrer Des relations avec les prestataires à préciser Loi de 1978 Informatique et libertés Directive 1995
La définition des données personnelles Le cas des identifiants en ligne Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. Ce qui change : Les données pseudonymes sont des données personnelles Ne pas confondre anonymisation et pseudonymisation
Règlement européen sur la protection des données Un texte qui pose de nouveaux principes … un principe de responsabilité (accountability) : le responsable de traitement doit être mesure de démontrer sa conformité au GDPR Corolaire : plus besoin de déclaration préalable – une approche par les risques Passe par : Une analyse d’impact : définition des niveaux de risque et mises en œuvre de mesures techniques et organisationnelles, avant chaque traitement La tenue d’un registre des activités de traitement La notification des failles de sécurité auprès de l’autorité de contrôle et des personnes concernées Peut également passer par : La désignation d’un Délégué à la protection des données (DPO) L’adhésion aux codes de conduite / soumission aux mécanismes de certification Responsabilité / Accountability, voir aussi consid. 74, 78 à 80 et 82 : le responsable de traitement voit sa responsabilité s’élargir avec l’instauration d’un principe de responsabilité le conduisant : - à adopter une approche par les risques et ainsi, à évaluer, préalablement à tout traitement les risques susceptibles d’être posés par celui-ci et, - le cas échéant, à mener une analyse d’impact sur l’approche par les risques, voir aussi : consid. 75 à 77 sur l’analyse d’impact, voir aussi : consid. 84, 89 à 91 et 94 à 95 - à prendre en compte la protection des données personnelles dès la conception de ses produits/services (privacy by design) - à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Ces mesures doivent garantir que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. (privacy by default) - à tenir un registre de ses activités de traitement (nom et coordonnées des différents acteurs, finalités, catégories de personnes, de données et de destinataires, transferts, mesures de sécurité adoptées, délais pour l’effacement) Absence de déclaration préalable : il n'y a plus de déclaration préalable au traitement, c’est le corollaire de cette démarche responsable. Les procédures de déclaration sont remplacées par la tenue d'un registre des activités de traitement (art. 30). Pour certains traitements, une procédure de consultation préalable de l'autorité de contrôle est par ailleurs requise (art.36) Analyse d’impact : description des opérations de traitement envisagées et finalités du traitement + évaluation de la nécessité de la proportionnalité des traitements au regard des finalités + évaluation des risques pour les droits et libertés des personnes concernées + mesures envisagées pour y faire face Délégué à la protection des données (DPO), voir aussi consid. 97 : si la désignation d’un DPO n’est obligatoire que dans les cas visés (not. traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées), elle est cependant vivement recommandée afin de pouvoir se conformer au mieux et le plus rapidement au principe d’accountability. => missions d’information, de conseil et de contrôle de la conformité… Codes de conduite et certification, voir aussi art. 24 §3) et consid. 77 et 98 à 100) : afin de faciliter la démonstration de sa conformité avec le règlement (et notamment s’agissant des transferts hors UE), le responsable de traitement pourra adhérer à des codes de conduite ou se soumettre à des mécanismes de certification. Sécurité : les exigences de sécurité sont précisées et une obligation de notification des failles s’impose désormais, notification à la fois à l'autorité de contrôle compétente mais également aux personnes concernées.
Règlement européen sur la protection des données Un texte qui pose de nouveaux principes (suite) un principe de privacy by design et privacy by default : le responsable de traitement devra prendre en compte la protection des données personnelles dès la conception de ses produits/services (by design) et devra garantir que, par défaut, seules les données nécessaires à chaque finalité spécifique seront traitées (by default) et consécration des principes de transparence, minimisation, confidentialité cf. infra un principe de coresponsabilité : une responsabilité conjointe entre co-responsables de traitement ; en matière de sous-traitance, des cas dans lesquels la propre responsabilité du sous-traitant est engagée sont prévus … Responsabilité / Accountability, voir aussi consid. 74, 78 à 80 et 82 : le responsable de traitement voit sa responsabilité s’élargir avec l’instauration d’un principe de responsabilité le conduisant : - à adopter une approche par les risques et ainsi, à évaluer, préalablement à tout traitement les risques susceptibles d’être posés par celui-ci et, - le cas échéant, à mener une analyse d’impact sur l’approche par les risques, voir aussi : consid. 75 à 77 sur l’analyse d’impact, voir aussi : consid. 84, 89 à 91 et 94 à 95 - à prendre en compte la protection des données personnelles dès la conception de ses produits/services (privacy by design) - à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Ces mesures doivent garantir que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. (privacy by default) - à tenir un registre de ses activités de traitement (nom et coordonnées des différents acteurs, finalités, catégories de personnes, de données et de destinataires, transferts, mesures de sécurité adoptées, délais pour l’effacement) Transparence/ confidentialité / minimisation
Un texte qui confère de nouveaux droits aux personnes concernées Règlement européen sur la protection des données Un texte qui confère de nouveaux droits aux personnes concernées Droits existants renforcés Nouveaux droits Droit d’accès (art. 15) Droit de rectification (art. 16) Droit d’opposition (art. 21) dont : Droit d’opposition au traitement à des fins de prospection, y compris au profilage (art. 21) Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22) Droit de retirer son consentement (art. 7) Droit à l’effacement / Droit à l’oubli (art. 17) Droit à la limitation du traitement (art. 18) Droit à la portabilité (art. 20) + exercice des droits par voie électronique + obligation d’un retour de la part du responsable de traitement sur les mesures prises. Droit à l’oubli : effacement des DP dans certaines conditions (retrait consentement fondant le traitement, données plus nécessaires, opposition, traitement illicite, obligation légale, offre de services de la société de l’info aux enfants) et exceptions (liberté d’expression, obligation légal, intérêt public dans le domaine de la santé, justice,…) Droit à la limitation : cas limitatifs (constestation de l’exactitude d’une donnée, opposition à l’effacement, justice, preuve de l’intérêt légitime du RT) – pendant la limitation = pas de traitement autre que conservation sans le consentement – information sur la levée de la limitation Droit à la portabilité : 2 conditions cumulatives (traitement automatisé + traitement fondé sur le consentement ou nécessaire à l’exécution d’un contrat) – format structuré, couramment utilisé et lisible par une machine Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage : produisant des effets juridiques ou l’affecant de manière significative de façon similaire – exception : contrat, autorisation légale, consentement explicite Droit d’accès et étendue informations obtenues renforcée
Règlement européen sur la protection des données Des règles renforcées pour la collecte et l’utilisation des données personnelles des principes généraux réaffirmés (art. 5) : Licéité, loyauté ; la transparence érigée en principe Limitation des finalités Minimisation des données Exactitude Limitation de la conservation Intégrité et confidentialité consacrés comme principe des bases légales identiques mais avec des conditions renforcées (art. 6) : Le consentement (art. 7 et 8) : libre, spécifique, éclairée et univoque L’intérêt légitime du responsable de traitement ou d’un tiers … des principes généraux inchangés (art. 5) : Licéité, loyauté et transparence : le traitement doit être licite, loyal et transparent Limitation des finalités : les finalités doivent être déterminées, explicites et légitimes Minimisation des données : les données doivent être adéquates, pertinentes et limitées (vs non-excessives) à celles nécessaires aux finalités Exactitude : les données doivent être exactes et mises à jour Limitation de la conservation : les données ne doivent pas être conservées au- delà du temps nécessaire aux finalités Intégrité et confidentialité : le traitement doit garantir une sécurité appropriée des données Consentement (art.2,11): « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que les données à caractère personnel la concernant fassent l’objet d’un traitement » (32)Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. Intérêt légitime : (47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
Règlement européen sur la protection des données de nouvelles informations à délivrer (art. 13 et 14) : Les coordonnées du DPO (lorsqu’il existe) La base juridique du traitement et, le cas échéant, les intérêts légitimes poursuivis L’intention d’effectuer un transfert de données vers un pays tiers (déjà prévu par la Loi de 1978) et ses modalités La durée de conservation des données (ou au moins les critères utilisés pour le faire) L’existence des nouveaux droits pour la personne concernée (effacement, limitation, portabilité, retrait de son consentement) Le droit d’introduire une réclamation auprès d’une autorité de contrôle L’existence d’un profilage, son importance et ses conséquences L’intention d’effectuer un traitement ultérieur, sa finalité et toute information pertinente La source des données détenues, en cas de collecte indirecte De nouvelles précisions sur les conditions de délivrance (au moment où les données sont obtenues, …) et la présentation des informations Article 12 + précisions propres par exemple à droit d’opposition Question de preuve (accountability)
Des lignes directrices de la Commission européenne sont prévues Le profilage Définition Quel encadrement ? Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique Est couvert par le droit d’opposition général (art. 21) En matière de prospection, ouvre le droit d’opposition spécifique (art. 21) Un régime particulier pour le profilage qui produit des effets juridiques concernant une personne ou l'affecte de manière significative de façon similaire (art. 22 : consentement explicite + information + ) Exemples donnés par le GPRD : demande de crédit en ligne ou pratiques de recrutement en ligne sans aucune intervention humaine Des lignes directrices de la Commission européenne sont prévues Quid bon de réduction / IP tracking …? Pas que de la pub Sur le digital (mais pas que), le consentement est en passe d’être rendu obligatoire dans tous les cas par le Règlement E-Privacy
Une des bases légales de traitement : le consentement Définition Conditions ? acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Libre : par exemple, le consentement n’est pas libre si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution. Spécifique : donné pour une ou plusieurs finalités spécifiques Éclairé : informations à délivrer (dont possibilité de retrait) et conditions de présentation Univoque : pas de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Des précisions de forme sont apportées par le GDPR (ex : en cas déclaration écrite concernant également d’autres questions et nécessité d’un caractère distinguable) Conséquences ? Limitation aux finalités indiquées Pas de traitement ultérieur sauf nouveau consentement Droit d’opposition Possibilité de retrait sans motif Droit à l’effacement, droit à la portabilité (si autres conditions remplies) , … Ce qui change : Le responsable du traitement doit pouvoir en apporter la preuve Nb : cas particulier pour les mineurs
Règlement européen sur la protection des données LES ENJEUX et les défis La définition d’une stratégie en matière de base légale de traitements de données La mise en place d’une documentation La mise en place de mesures pour assurer les principes de privacy by design et le privacy by default Les modalités de délivrance des informations : rendre digeste une information pléthorique au moment où les données sont collectées Le choix des sous-traitants et partenaires (not. sécurité) Consentement (art.2,11): « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que les données à caractère personnel la concernant fassent l’objet d’un traitement » (32)Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. Mineurs : Article 8 Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information 1. Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. 2. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles. 3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. Intérêt légitime : (47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime. Profilage : «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; Article 22 Décision individuelle automatisée, y compris le profilage 1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. 2. Le paragraphe 1 ne s'applique pas lorsque la décision: a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement; b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou c) est fondée sur le consentement explicite de la personne concernée. 3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. 4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.
Règlement européen sur la protection des données Les premières actions à mettre en œuvre sensibiliser, être proactif, réorganiser et documenter Sensibiliser et mettre la protection des données personnelles au centre des projets : communiquer sur les grands principes et sur la nouvelle approche par les risques, identifier et inclure les acteurs clés dans les nouveaux processus, envisager la désignation d’un DPO, … Identifier/ Recenser les traitements effectués et les données traitées: les qualifier et identifier leur base juridique, … Mettre en place un registre des activités de traitement Formaliser et réviser les procédures d’exercice des droits Mettre à niveau et formaliser les mesures de sécurité Recenser les contrats existants ainsi que les processus contractuels et les réviser le cas échéant : qualifier les relations contractuelles, passer des contrats ECRITS, insérer les clauses obligatoires, … Sensibiliser et mettre la protection des données personnelles au centre des projets Communiquer sur les grands principes du GDPR (transparence, loyauté, protection des données dès la conception et protection des données par défaut) et sur le prisme d'une approche par les risques pour les nouveaux projets et réaliser le cas échéant une analyse d'impact Identifier les acteurs clés et les inclure dans les nouveaux processus Inclure des personnes de haut niveau hiérarchique dans les processus Mettre la question de la protection des DP au centre des futurs projets Envisager la nomination ou le nouveau rôle du CIL/DPO dans l'entreprise Identifier/ Recenser les traitements effectués et les données traitées Les qualifier au regard du GDPR (not. nécessité étude d’impact, nomination DPO) Traitements : risques ? profilage ? transfert hors UE ? traitements particuliers ? Réaliser une analyse d'impact le cas échéant. Données : données sensibles ? mineurs ? données pseudonymes ? Finalités : lesquelles ? Identifier la base juridique du traitement (contrat, consentement, intérêt légitime,…), les informations délivrées, la base légale des transferts de données éventuels, … Mettre en place un registre des activités de traitement Formaliser et réviser les procédures d’exercice des droits Mettre à niveau et formaliser les mesures de sécurité Recenser les contrats existants ainsi que les processus contractuels et les réviser le cas échéant Qualifier les relations contractuelles au regard du GDPR (sous-traitant, responsable conjoint de traitement, …) Passer des contrats écrits Insérer les clauses rendues obligatoires par le GDPR (nb: les clauses sur la sécurité des données et les clauses de responsabilité requièrent une importance toute particulière)
Projet de Règlement E-privacy Une révision de la directive qui traite des cookies, de l’emailing … En cours d’adoption pour une mise en application envisagée le 25 mai 2018
Projet de règlement E-Privacy Un projet de règlement européen publié mi-janvier par la Commission européenne qui souhaite une adoption rapide pour une mise en application au plus tard le 25 mai 2018 – comme le règlement européen sur la protection des données personnelles que contient le projet ?
Projet de règlement E-Privacy Une généralisation du principe de l’opt-in pour le marketing direct envoyé par voie électronique. « toute forme de publicité, écrite ou orale, envoyée à un ou plusieurs utilisateurs identifiables de services de communications électroniques, incluant les l’utilisation des automates d’appel et services de communications avec ou sans intervention humaine, les emails, sms, etc. » Une définition large qui suscite l’inquiétude et ne tient pas compte du GDPR Un opt-in qui concerne aussi le BtoB Une exception au consentement préalable maintenue : l’email pour les produits et services analogue n’est pas soumis à opt-in Le démarchage téléphonique soumis à l’opt-in sauf disposition contraire des Etats membres Lors de l’annonce de l’engagement d’une procédure de révision de ce texte, il avait été indiqué qu’elle visait à tenir compte des évolutions technologiques et de l’adoption du Règlement européen sur la protection des données personnelles (GDPR). Cependant, en renforçant encore les règles sur la gestion des cookies et autres traceurs et l’opt-in en matière de marketing direct, le projet de règlement publié par la Commission européenne ne tient pas compte du fonctionnement du marché de la publicité qui ne repose pas uniquement sur la collecte de données personnelles, déjà appréhendée par le GDPR. Il aurait été souhaitable que les règles posées dans ce projet de règlement privilégient un cadre moins strict en l’absence de telles données. L’adoption du texte en l’état pourrait être contre-productive pour les utilisateurs. Si le consentement s’avère requis largement sur le digital, certains acteurs incontournables ayant des facilités à obtenir le consentement de leurs utilisateurs pourraient en effet généraliser les logs et les comptes et de facto, d’une part privilégier la collecte de données personnelles à d’autres données et d’autres part bénéficier d’un avantage concurrentiel non négligeable.
Projet de règlement E-Privacy Une extension à tous les acteurs du principe de confidentialité des contenus et, fait nouveau, des metadatas échangés. Aujourd’hui ce principe concerne les seuls opérateurs de communications électroniques (sous réserve Loi Rép. Numérique) Cette interdiction est étendue aux métadatas émises par les terminaux (nb: la donnée de localisation qui est générée dans un contexte autre qu’un service de communication électronique ie autre que pour permettre l’accès ou la connexion à un réseau n’est pas considérée comme une métadonnée – à confirmer) Les possibilités de déroger par le consentement des utilisateurs sont limitées à des cas précis Des règles sur les mesures de fréquentation de lieux publics Une information visible à l’entrée de la zone couverte sur la finalité du traitement + son responsable + les mesures que peut prendre le visiteur pour minimiser la collecte ou la stopper (+ informations GDPR le cas échéant) Icônes?. Lors de l’annonce de l’engagement d’une procédure de révision de ce texte, il avait été indiqué qu’elle visait à tenir compte des évolutions technologiques et de l’adoption du Règlement européen sur la protection des données personnelles (GDPR). Cependant, en renforçant encore les règles sur la gestion des cookies et autres traceurs et l’opt-in en matière de marketing direct, le projet de règlement publié par la Commission européenne ne tient pas compte du fonctionnement du marché de la publicité qui ne repose pas uniquement sur la collecte de données personnelles, déjà appréhendée par le GDPR. Il aurait été souhaitable que les règles posées dans ce projet de règlement privilégient un cadre moins strict en l’absence de telles données. L’adoption du texte en l’état pourrait être contre-productive pour les utilisateurs. Si le consentement s’avère requis largement sur le digital, certains acteurs incontournables ayant des facilités à obtenir le consentement de leurs utilisateurs pourraient en effet généraliser les logs et les comptes et de facto, d’une part privilégier la collecte de données personnelles à d’autres données et d’autres part bénéficier d’un avantage concurrentiel non négligeable.
RAPPEL : Mécanisme de la recommandation (consentement implicite / cookies non exemptés) Bandeau d’information lisible et accessible qui informe sur les finalités et permet d’en savoir plus sur les conséquences de la poursuite de la navigation Si l’internaute souhaite en savoir plus Je ne dépose, …, pas de cookies Il accède à une page sur laquelle L’internaute poursuit sa navigation Je peux déposer, …, des cookies J’offre la possibilité d’accepter ou de refuser tout ou partie des cookies Je précise les finalités par type de cookies L’internaute navigue sans paramétrer : Je peux déposer, …, des cookies L’internaute paramètre : Je respecte ses choix
Projet de règlement E-Privacy Un renforcement des règles sur les cookies et autres traceurs : Sont explicitement visées l’ensemble des techniques de tracking il est toujours exigé que les utilisateurs consentent à la lecture ou l’installation de cookies, etc., sauf pour les cookies techniques. A cette exception sont ajoutés certains cookies d’audience, comme cela était déjà admis en France. le consentement des internautes devra répondre aux critères posés par le GDPR il est réaffirmé que le navigateur peut permettre à l’internaute d’exprimer son consentement Navigateurs et cookies tiers (nouveau): les navigateurs devront proposer un paramétrage (acceptation ou refus) dédié aux cookies tiers. Le projet de règlement qui avait fuité prévoyait un paramétrage de refus par défaut des cookies tiers. Dans le projet rendu public, les utilisateurs devront obligatoirement procéder au paramétrage des cookies tiers pour poursuivre l’installation de leur navigateur, ou lors de leur mise à jour, et au plus tard le 25 août 2018. Projet de règlement E-Privacy
Cookies – dernières actualités de la CNIL Où en est-on en France ? Des contrôles étendus aux partenaires des éditeurs de sites, dont les annonceurs, en matière de publicité ciblée. « Ce sont tant les annonceurs et les régies que les autres partenaires qui doivent collectivement se mettre en conformité pour construire des modèles de publicité ciblée pérennes, c’est- à-dire respectueux des droits des personnes. » Communiqué de presse de la CNIL du 27 juillet 2016 Une réunion interprofessionnelle organisée par la CNIL en février La CNIL annonce un changement d’approche sur les responsabilités des uns et des autres dans la publicité digitale en matière de cookies Une publication sur le site de la CNIL dans les prochaines semaines Brandalley Juillet 2016 Manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant le dépôt et la lecture des cookies Information du bandeau pas assez claire sur la possibilité de paramétrer le dépôt des cookies Dépôt de cookies publicitaires dès l’arrivée de l’internaute sur le site sans recueil du consentement => la société mise en cause justifiait d’actions précises pour la mise en œuvre de la réglementation la CNIL s’estime « insuffisamment éclairée sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires pour se prononcer » sur ce point REUNION CNIL / Les solutions de tag management seront sans doute évoquées Comme vous le savez toutes et tous, l’année 2016 a été ponctuée de nombreux faits marquants concernant la protection des données. Sur le plan européen tout d’abord avec l’adoption du nouveau règlement à la protection des données au mois de mai puis avec l’annonce d’un prochain règlement qui devrait se substituer (et modifier) à la directive 2002/58/CE du 12 juillet 2002 modifiée dite « e-privacy ». Ensuite sur le plan national avec notamment la loi pour une République numérique promulguée le 7 octobre. Parallèlement, la CNIL a aussi mené des contrôles tout au long de l’année, sur la base de la recommandation « cookies et autres traceurs » du 5 décembre 2013, auprès des acteurs du « marketing digital »<https://www.cnil.fr/fr/cookies-la- cnil-etend-ses-controles-au-dela-des-editeurs-de-sites>. Ces contrôles nous ont conduits, d’une part, à mieux appréhender les traitements mis en œuvre par les acteurs de la chaîne publicitaire et, d’autre part, à préciser la répartition des responsabilités entre les éditeurs de sites et les émetteurs de cookies tiers. Aussi, dans le cadre de ces constats et multiples perspectives communes, nous souhaiterions vous convier à une réunion de travail le 7 février prochain à 14 h, au cours de laquelle des précisions pourront vous être fournies à l’aune de ces nouveaux éléments. Conséquemment, cette réunion nous permettra d’évoquer les travaux à venir au sein de la CNIL portant notamment sur l’adaptation de la norme simplifiée 48 et de la recommandation du 5 décembre 2013.