RGDP, E-Privacy : les dernières nouvelles

L’entrée en application du RGPD le 25 mai dernier n’était qu’un point d’étape, pour les annonceurs, les acteurs de l’écosystème publicitaires mais aussi les régulateurs. Elle a rendu visibles les divergences d’interprétation et les difficultés de coordination dans sa mise en œuvre.

L’UDA poursuit son cycle de réunions consacrées au RGPD afin de continuer de vous accompagner dans son déploiement au fur et à mesure des avancées opérationnelles et des stabilisations des interprétations.

Ce d’autant que la réglementation continue d’évoluer en parallèle de cette entrée en application : le projet de loi données personnelles a été adopté le 14 mai, dans des termes parfois différents du règlement, et sont attendues dans un délai de 6 mois les ordonnances qui viendront adapter la Loi Informatique et Libertés. S’agissant du projet de règlement E-Privacy qui traite des cookies et de l’e-mailing, du démarchage téléphonique, des mesures de fréquentations, …, la discussion n’est pas achevée au niveau européen.

Entrée en application du RGPD : le 25 mai est un point d’étape

Le 25 mai, jour de l’entrée en application du RGPD, a rendu visibles les divergences d’interprétation et les difficultés de coordination dans sa mise en œuvre.

Pour les annonceurs, pour les acteurs de l’écosystème publicitaire mais également pour les régulateurs, le 25 mai était un point d’étape.

En effet, côté CRM, l’entrée en application du règlement a donné lieu à une avalanche de mails d’information de la part de nombreuses entreprises portant sur leur nouvelle politique de protection des données personnelles. Ils sont révélateurs de la diversité des interprétations du règlement et des choix auxquels les entreprises ont procédé (tout consentement, consentement explicite systématique, recollecte du consentement, maintien de la base légale de l’intérêt légitime, …).

Côté publicité programmatique, ont été constatés les effets du manque de dialogue entre les différents acteurs et les difficultés posées par la détermination tardive des interprétations adoptées selon les acteurs et des choix d’outils opérés.

Du côté des régulateurs, les publications se poursuivent. Ainsi, la CNIL a encore publié tout dernièrement de nouveaux outils d’accompagnement à la mise en œuvre du RGPD (voir les outils ici) et d’autres sont encore annoncés, notamment s’agissant des relations sur l’intervention des courtiers de données.

Enfin, du côté des utilisateurs, les premières plaintes collectives pour non-respect du RGPD ont été déposées auprès de la CNIL contre des entreprises telles que Google, Facebook, Amazon, Apple ou Linkedin. Elles ouvrent ainsi un nouveau chapitre de cette régulation, celui de la confrontation du texte et de ses principes, aux différentes interprétations qui en ont été faites et à son application concrète.

Les interprétations et la mise en œuvre opérationnelle du Règlement ne pourront que se préciser dans les prochains mois.

L’UDA poursuit son cycle de réunions consacrées au RGPD afin de continuer de vous accompagner dans son déploiement au fur et à mesure des avancées opérationnelles et des stabilisations des interprétations.

Poursuite des rencontres sur la mise en œuvre du RGPD dans l’écosystème publicitaire

Après avoir reçu fin mars Google et Facebook concernant les démarches entreprises par ces plateformes pour la mise en conformité au RGPD de leurs offres et outils proposés aux annonceurs, nous avons reçu le 23 mai dernier deux agences médias venues partager leurs actions ainsi que leur vision de leur place dans l’écosystème (Dentsu Aegis et Group M, voir ici).

 

• Les agences médias reçues ont présenté les nombreuses et intéressantes actions de sensibilisation et guidelines données à leurs opérationnels pour la gestion de la data au sein de leurs entités : mise en place de plateformes sécurisées pour les transferts de data (interdiction de transfert par mail sous excel, …), absence de simple transit des données chez elles en l’absence de retraitement des données et de valeur ajoutée, …
• Du côté des relations avec les annonceurs, les échanges ont principalement porté sur les responsabilités prises par les agences et la formalisation de leur engagement sur la conformité des offres et outils qu’elles recommandent aux annonceurs.

 

D’un point de vue de leur statut contractuel au regard du Règlement, les agences rencontrées se considèrent dans la quasi-totalité des cas, comme un sous-traitant (et non comme un co-responsable de traitement par exemple), devant répondre aux seules exigences minimales fixées par le RGPD.

Toutefois, en ce qui concerne les opérations d’achat d’espace, les positionnements semblent être appréhendés de manière moins précise, ou considérés comme non concernés par le Règlement du côté des agences médias.

Ainsi, le statut de mandataire à l’achat d’espace, en application de la Loi Sapin, a été avancé pour justifier l’exclusion d’une qualification au sens du RGPD, alors même que dans le même temps, la qualité de sous-traitant du trading desk, responsable de ses propres sous-traitants DSP a pourtant été évoquée.

Un autre positionnement est de faire procéder à la signature d’avenants dédiés à la conformité des régies au RGPD, directement entre l’agence et certaines régies. L’objectif de ces avenants est de permettre à l’agence de signaler aux annonceurs les régies ayant formellement apporté des garanties.

 

Au-delà des débats sur le statut contractuel (sous-traitant, responsable ou co-responsable de traitement) de l’agence au regard du Règlement, qui ne lie pas, de toute façon, l’autorité de protection des données, c’est la prise de responsabilité des agences qui est au cœur des discussions.

Dans les Data protection agreement qu’elles proposent, leur rôle de conseil dans les solutions qui sont recommandées aux annonceurs et leur implication dans la négociation des garanties offertes par les régies, les outils, les data providers, etc ne sont pas, semble-t-il, par formalisées au-delà des exigences limitées requises par le RGPD en matière de sous-traitance.

Conscientes toutefois de leur rôle d’interface et de recommandation, les agences rencontrées ont précisé mettre en œuvre des procédures de vérification s’agissant du traitement des données personnelles par les principaux prestataires qu’elles sont susceptibles de recommander auprès des annonceurs. Elles participent également aux analyses d’impacts des annonceurs à la demande de leurs clients.

 

Google est également venu échanger avec les annonceurs lors de cette réunion.

Cette poursuite de la discussion était la bienvenue pour approfondir les précédents échanges engagés fin mars (voir ici).

 

• Les échanges ont principalement porté sur les interrogations suscitées par les clauses limitatives de responsabilité, et l’absence, dans les nombreux documents publiés, d’engagement ferme ou de documentation précise sur la conformité au RGPD des outils et offres commercialisés auprès des annonceurs.
•  
  • Le choix d’un timing très serré pour la mise à disposition des annonceurs et des publishers des informations sur leur mise en œuvre du Règlement, quelques semaines voire jours avant son entrée en application a également suscité des réactions.

 

A ces différents acteurs, il a été demandé de présenter les flux de données et le fonctionnement des offres et outils développés ou préconisés, par la mise à disposition des annonceurs de schémas présentant les interactions entre les données, les acteurs concernés et leur statut dans la chaîne contractuel (sous-traitant, de qui et/ou responsable de traitement, à quel titre).   La même demande avait été formulée auprès de Facebook le 18 avril dernier lors de leur venue à l’UDA pour le suivi de la précédente réunion (voir ici). Les positionnements des uns et des autres en tant que sous-traitants et/ou responsable de traitement et pour quelles actions, sont peu précis au regard de la diversité des situations et cas d’usage. Cette question de qualification contractuelle au sens du RGPD, ne doit pas faire oublier l’essentiel : quelles sont les garanties dont bénéficient les annonceurs de la part de ceux qui les conseillent sur les moyens de diffuser leurs publicités ou développent des solutions pour les rendre plus efficaces et pertinentes. Tout comme les annonceurs s’engagent à mettre en œuvre le RGPD pour ce qui les concerne, agences, régies, prestataires devraient tous s’engager à ne commercialiser ou à ne recommander que des offres et outils conformes au RGPD.

 

Action de groupe, âge des enfants pour lesquels le consentement parental est exigé, …, les adaptations française du RGPD

Le projet de loi relatif à la protection des données personnelles a été définitivement adopté le 14 mai.

Ce projet de loi a été soumis au Conseil constitutionnel, ce qui retarde son entrée en vigueur.

Il vise principalement à mettre en cohérence la loi Informatique et libertés avec les principes de fond posés par le RGPD et à adapter le fonctionnement de la CNIL et des procédures.

Le texte comporte ainsi des dispositions relatives à la CNIL (missions, modalités de contrôle, coopération entre autorités de contrôle, gradation des sanctions, …), au régime des données sensibles, génétiques, biométriques et d’orientation sexuelle, au régime d’autorisation préalable pour les données biométriques, génétiques ou NIP, à la notification des violations de données, etc.

Ainsi, le texte introduit par exemple une possibilité d’injonction de mise en conformité sous astreinte de 100 000€ par jour de retard (article 6).

Il faudra attendre la publication d’ordonnances dans un délai fixé à 6 mois à compter de la publication de la loi, pour avoir un texte prévoyant l’abrogation et la mise en cohérence de la plupart des dispositions de la loi Informatique et libertés (nb : le RGPD prévaudra dans l’intervalle ou après, sur les points qu’il couvre).

A retenir   Parmi les dispositions adoptées, on signalera particulièrement : Que l’âge en deçà duquel un enfant ne peut consentir seul au traitement de ses données personnelles en cas d’offre directe de services de la société d’information a été fixé à 15 ans (article 20). Pour mémoire, le texte européen laissait aux Etats membres la latitude de fixer cet âge en deçà duquel le consentement parental est donc requis, entre 13 et 16 ans.   Qu’une nouvelle action de groupe a été adoptée. Celle-ci permettra d’obtenir réparation du préjudice pour les dommages postérieurs au 25 mai 2018 en matière d’atteinte aux données personnelles. La précédente action de groupe, adoptée dans la loi pour une République numérique permettait seulement d’obtenir la cessation du manquement à la réglementation (article 16 A).   Qu’en matière de profilage, le texte adopté en France s’agissant des décisions automatisées faisant l’objet d’un encadrement spécifique à l’article 22 du Règlement, ne reprend pas la lettre du texte européen. Si le règlement européen prévaut en principe, la rédaction de l’article tel qu’adopté est toutefois susceptible de poser des problèmes d’interprétation. En effet, les décisions automatisées prises notamment sur le fondement d’un profilage qui sont strictement encadrées sont celles « produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative » dans le texte français (article 21), tandis que dans le texte européen, sont visées et encadrées spécifiquement décisions « produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative de façon similaire »). Par ailleurs, les conditions posées pour lever cette interdiction des décisions automatisées produisant des effets juridiques s’écartent de celles exigées tant par le règlement européen que par les lignes directrices du G29 qui y sont consacrées. En effet, l’article 22 du règlement européen et les articles 13,14 et 15 qui précisent les informations devant être fournies aux personnes pour la mise en œuvre de décisions automatisées produisant des effets juridiques, indiquent qu’il s’agit des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues par le traitement pour la personne concernée tandis que le texte adopté exige pour ce qui le concerne que soient communiquées les principales caractéristiques de sa mise en œuvre, à l’exception toutefois, et cette précision peut s’avérer positive, des secrets protégés par la loi.   Que le droit à la portabilité européen sur les données a prévalu sur celui introduit en droit de la consommation par la loi République numérique, qui a finalement été supprimé dans le code de la consommation (art. L224-42-1 et s. C.Conso). Cette disposition qui n’était pas en vigueur en l’absence de décret d’application, a été considérée comme faisant doublon avec le droit à la portabilité des données, interprété largement pas le G29 dans ses lignes directrices (article 20 bis).

Projet de Règlement E-Privacy : la discussion se poursuit

Les travaux du Conseil de l’Union européenne, qui doit à son tour livrer sa version du texte du projet de Règlement E-Privacy (après la Commission et le Parlement), se poursuivent.

La question de la place accordée aux navigateurs dans la gestion des consentements aux cookies est au cœur des débats.

Pour mémoire, le texte de la Commission prévoit un paramétrage obligatoire et prédominant des navigateurs par les utilisateurs, concernant l’acceptation ou le refus des cookies. Le Parlement de son côté, dans sa version du texte, exige un paramétrage off par défaut (refus des cookies soumis à consentement, dont les cookies déposés à des fins publicitaires sauf action des utilisateurs).

Le Conseil est dans une position médiane à date : il n’est pas proposé la suppression de l’article 10 qui prévoit le rôle des navigateurs cependant le rôle accordé à ces derniers pourrait être plus mesuré.

Ainsi, le paramétrage des navigateurs pourrait être simplement proposé et non obligatoire et les navigateurs doivent permettre aux sites de demander le consentement des utilisateurs indépendamment des paramétrages réalisés (voir le dernier projet soumis au groupe de travail du Conseil ici).

Les discussions se poursuivent également sur la possibilité pour les sites de refuser l’accès aux utilisateurs ne consentant pas au dépôt ou à la lecture des cookies autres que les cookies techniques et certains cookies d’audience (possibilité ou non d’avoir « cookie wall »). 

Une telle possibilité se heurte pour l’heure à l’interprétation stricte du principe de liberté de consentement. Si la Présidence bulgare a souhaité introduire cette possibilité dans les dernières versions soumises au groupe de travail sur le texte,  ce n’est que de façon sibylline et insuffisante à lever les difficultés posées par le projet de texte sur ce point.

Concernant les inquiétudes relatives à la généralisation d’un principe supplémentaire de consentement pour la publicité display individualisée, équivalent à l’opt-in en matière d’emailing, suscitée par la rédaction de l’article 16 et celle de la définition du marketing direct, celles-ci ont été semble-t-il entendues.

La dernière proposition de texte vise en effet les publicités envoyées à des personnes (logique d’utilisation de coordonnées – téléphoniques, email, …) et non plus la publicité présentée à des personnes en particulier.

A noter toutefois, ce principe supplémentaire de consentement s’appliquerait dans les univers loggés, dès lors que l’objectif est de viser des personnes déterminées (et pour lesquels à défaut de cookies ou autres traceurs, le consentement aux cookies publicitaires n’était pas exigé à ce titre).

Le Conseil ne devrait pas parvenir à un accord sur le texte avant la fin de l’actuelle présidence Bulgare fin juin contrairement à ce qui avait été annoncé.

Une position politique devrait être discutée au prochain Conseil le 18 juin prochain avant la reprise du dossier par la Présidence autrichienne.

Ceci repousse d’autant le commencement du trilogue et l’adoption définitive du texte.

Néanmoins, il ne peut être écarté que dans la perspective des élections européennes du printemps prochain, un accord politique puisse être finalement précipité.

– juin 2018 –