Dans le prolongement de la réunion du 29 mars consacrée à la mise en œuvre du RGPD dans l’écosystème publicitaire (pour recevoir les informations communiquées à sa suite, cliquez-ici), nous avons rencontré Facebook pour une réunion dédiée à ses services le 18 avril.
La mise en ligne de nouvelles conditions générales et d'utilisation des services publicitaires
Nos interlocuteurs nous ont signalé la mise en ligne des nouvelles conditions générales et conditions d’utilisation de leurs services publicitaires.
Vous les trouverez sous ces liens :
- Conditions d’utilisation des audiences personnalisées (custom audiences en anglais) : https://www.facebook.com/legal/terms/customaudience
- Conditions applicables aux outils professionnels Facebook (Facebook Business Tools en anglais) : https://www.facebook.com/legal/terms/businesstools
- Conditions d’utilisation (version rubriquée) : https://www.facebook.com/legal/terms/update
- Politique d’utilisation des données (data policy) : https://www.facebook.com/about/privacy/update
- Cookies policy : https://www.facebook.com/policies/cookies/
NB : pour ce qui concerne le service Facebook lead, les conditions générales actualisées sont en cours de finalisation.
Les propos échangés lors de la réunion
Par ailleurs, à l’oral, il nous a été indiqué que :
- Les traitements de données personnelles réalisés par Facebook sont principalement fondés sur la base légale du contrat pour ce qui concerne les utilisations des données confiées et générées sur Facebook et sur la base du consentement s’agissant des données sensibles sur Facebook (consentement explicite) et pour les données provenant de l’extérieur du service de Facebook (via pixel sur un site tiers).
- Ces nouvelles conditions générales devront être acceptées à compter du 25 mai 2018 pour l’exécution des services offerts aux annonceurs ;
- Ces conditions générales ne seraient pas susceptibles de faire l’objet d’aménagements contractuels ;
- Ces conditions générales ne prévoyaient pas de limitations de garantie (à vérifier au regard des conditions générales communiquées, notamment concernant ce qui est couvert par la garantie).
S’agissant de la documentation relative à la conformité des services proposés au RGPD et les informations sur les fonctionnements des services pour permettre aux annonceurs de mettre leurs politiques en adéquation avec les traitements réalisés par Facebook dans le cadre des services publicitaires auxquels ils font appel, il ne semble pas, à date, que d’autres informations que celles communiquées supra seront mises à disposition.
Les participants à cette réunion ont particulièrement insisté sur la nécessité d’avoir des informations sur les parcours des données selon les différents services proposés, notamment par la communication de schémas présentant les « data flows ». Les équipes de Facebook présentes ont indiqué que de tels documents n’étaient pas prévus à date mais que ce point récurrent serait remonté au niveau global.
Autre point présenté par Facebook, les paramètres offerts aux utilisateurs du service (étant observé que les traitements réalisés par la plateforme sont principalement réalisés sur le fondement du contrat qu’ils passent avec leurs utilisateurs).
A ce sujet doit encore être approfondi avec les équipes de Facebook, les conséquences des options de préférences ou de refus de publicité de la part d’un annonceur à l’égard de ce dernier (quels traitements sont concernés par ces options, sont-ils offerts dans des cas autres que le fondement contractuel, dans ce cas, y’a-t-il des remontées des opt-out auprès des annonceurs, est-ce fonction de la base légale du traitement réalisé ?).
Les questions communiquées en amont à Facebook
Vous trouverez ci-après, pour information, les questions qui avaient été communiquées à Facebook en amont de cette entrevue.
- Pouvez-vous décrire pour chaque offre publicitaire commercialisée le parcours de la donnée (quelles sources, quels croisements, quelles utilisations, destinations) et sur quelles bases légales les traitements sont fondés?
- Dans quels cas êtes-vous responsable de traitement / sous-traitants ? S’agit-il de qualifications uniques ou mixte selon les offres ou opérations ?
- Quelle documentation sera mise à disposition des annonceurs pour leur permettre de mettre en œuvre le GDPR pour la part qui les concernent ?
- Quels éléments sur la conformité des services communiquerez-vous aux annonceurs ? les analyses d’impacts seront-elles communiquées par exemple ?
- Quelles sont les garanties contractuelles concernant la conformité des offres, solutions et données utilisées ?
- Quels process sont mis en place pour conserver la preuve du consentement ?
- Procédez-vous à des d’enrichissements de données par les données de campagne de l’annonceur ? Comment l’annonceur peut-il s’y opposer ?
- Comment gérez-vous les droits des personnes concernées ?
- Êtes-vous en mesure de laisser le choix parmi vos sous-traitants à l’annonceur ?
– avril 2018 –