Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

BAROMÈTRE RGPD

5 544 vues

Publié le

BAROMÈTRE RGPD : Étude du niveau de conformité des sites français et analyse des pratiques de gestion des données personnelles

Nous abordons le sujet RGPD avec nos clients et partenaires de la même manière que nous approchons les autres thématiques autour de la donnée : via le prisme des enjeux Business & de la qualité de la Relation avec les Clients & Employés.

C’est ainsi que nous assumons un parti pris fort autour du RGPD : en faire une opportunité à saisir pour les organisations d’assainir leurs pratiques de collecte et d’utilisation de la donnée en les recentrant sur des cas d’usage pertinents et à valeur ajoutée pour l’entreprise comme pour ses clients.

L'objectif de cette étude est de dresser un panorama de la conformité RGPD des sites internet des annonceurs et étudier les pratiques « front office » de gestion des données personnelles.

Publié dans : Données & analyses
  • Soyez le premier à commenter

BAROMÈTRE RGPD

  1. 1. BAROMÈTRE RGPD Étude du niveau de conformité des sites français Analyse des pratiques de gestion des données personnelles 31 Octobre 2017 Marc-Antoine Ledieu Avocat associé technologies - data - contrats
  2. 2. Sommaire 32 Avant-propos et méthodologie de l’enquête Analyse de la conformité RGPD Synthèse des bonnes pratiques de Data Privacy GAFA : Quel niveau de conformité et quelles pratiques ? 5 12 22 27 Annexes 34
  3. 3. NOUS VOUS AIDONS À ÉVOLUER AVEC AGILITÉ DANS L’ÈRE DU MARKETING DIGITALISÉ ET DATA-DRIVEN Etude d’opportunité Cadrage stratégique Projet de transformation digitale Roadmap Data Marketing Organisation Digital, Data et Media Conseil en choix de solutions et prestataires Implémentation d’écosystèmes Data Use cases marketing innovants Data Science Conception de dispositifs digitaux Audit efficacité media / Audit conversion AMOA / Gestion de projet Pilotage de la performance & Reportings Business plan Tracking et collecte de Data Accompagnement au changement Formation / Coaching
  4. 4. SMART DIGITAL & DATA CONSULTANTS
  5. 5. Avant-propos et méthodologie de l’enquête
  6. 6. Cadre de l’enquête Cette analyse a été menée sans prendre contact avec les annonceurs/marques du panel, certains axes de la conformité RGPD ont pu ne pas être identifiés par notre approche « client-mystère » Dresser un panorama de la conformité RGPD des sites internet des annonceurs et étudier les pratiques « front office » de gestion des données personnelles 100 sites internet sur 16 secteurs (cf. annexes) ÉCHANTILLON Du 4 au 30 août 2017 DATES OBJECTIF Définition d’un protocole d’évaluation puis analyse des sites sur les critères de conformité avec la technologie Didomi MODALITÉS 6
  7. 7. Qu’avons-nous analysé ? Dounia ZOUINE Converteo Manager L’analyse des plateformes digitales (sites internet et Applications mobiles), concerne la partie la plus visible de la mise en conformité du point de vue des visiteurs mais aussi des autorités. De notre point de vue c’est aussi là où se concentrent les « Quick Wins », c’est-à-dire ces actions de mise en conformité accessibles et relativement rapides à mettre en place. Bien sûr beaucoup d’acteurs mènent depuis plusieurs mois (jusqu’à 2 ans) des projets de mise en conformité sur des chantiers internes complexes et d’envergure (SI, processus, organisation…) mais ce qui nous interroge c’est que cet effort ne se reflète pas encore intégralement sur le front office (les sites web & applications). Cette étude nous a permis de constater en revanche, que les acteurs les plus matures ont pris très tôt la mesure des implications de la réglementation et ont déjà amorcé des évolutions de leur front office, avec des bonnes pratiques réplicables dans des contextes divers. Information aux internautes Gestion des données personnelles et des cookies sur les sites Nombre et nature des données collectées à la création de compte ou à l’inscription à la newsletter (principe de minimisation) Consentement Demande de consentement positif (opt-in) de traitement des données pour 1. Prospection commerciale 2. Personnalisation du site et des communications (ex : recommandations produits) 3. Scoring et amélioration de la connaissance client Droits des personnes Interfaces permettant de faire des demandes : 1. de portabilité des données, 2. de droit à l’oubli, 3. droit à la limitation de traitement 4. et/ou droit d’opposition à la prospection / au profilage Picture 7
  8. 8. Service Public Jeux EnergieImmobilier Retail Telecom InstitutionnelsComparateurs Média / Presse Travel / Hospitality RencontreCentres Commerciaux Banque / Assurance Pure Player Réseaux sociauxLuxe Les 100 sites internet du baromètre par secteur 8
  9. 9. Trois expertises au service de notre étude : data & digital, réglementation & technologie Didomi est une plateforme innovante de gestion de la vie privée. Cette solution permet de gérer le traitement des données bout en bout ; depuis la politique de confidentialité jusqu'aux préférences clients avec des outils adaptés aux non-professionnels de la privacy. Cette startup française créée à l’été 2017 aide déjà une dizaine de clients dans leur mise en conformité RGPD. Marc-Antoine Ledieu est Avocat associé du cabinet Bardehle Pagenberg. Spécialisé dans la rédaction et la négociation de contrats dans l'univers du traitement professionnel de la data (logiciel, base de données électronique, protection des données personnelles, blockchain), il conseille depuis 1997 des start-up innovantes et de grands groupes sur des problématiques pointues sur la collecte et l'usage des data. Il enseigne le droit de la protection des données personnelles à Paris II Panthéon-Assas et dans des écoles d'ingénieurs du numérique. Il est également conférencier à l'Ecole Polytechnique Nous abordons le sujet RGPD avec nos clients et partenaires de la même manière que nous approchons les autres thématiques autour de la donnée : via le prisme des enjeux Business & de la qualité de la Relation avec les Clients & Employés. C’est ainsi que nous assumons un parti pris fort autour du RGPD : en faire une opportunité à saisir pour les organisations d’assainir leurs pratiques de collecte et d’utilisation de la donnée en les recentrant sur des cas d’usage pertinents et à valeur ajoutée pour l’entreprise comme pour ses clients. 9
  10. 10. Règlement général sur la protection des données : le contexte et les principes ▪ Le traitement doit être licite et légitime ▪ Les données doivent être pertinentes pour le traitement ▪ Il doit y avoir proportionnalité entre les données traitées et la finalité de traitement Finalité ▪ Les personnes doivent bénéficier d’une information préalable au traitement sur les droits dont elles disposent (accès, rectification, opposition à prospection / profilage) ▪ Les personnes doivent être informées du fondement juridique sur lequel repose le traitement (AVEC ou SANS consentement) ▪ Les données doivent être protégées et la confidentialité assurée Sécurité ▪ Les données doivent être conservées pour une durée adéquate Transparence Conservation LES PRINCIPES DE PROTECTION DES DONNÉES PERSONNELLESLES ENJEUX ▪ Responsabiliser les entreprises sur la gestion des données personnelles ▪ Harmoniser les réglementations européennes et élargir les pouvoirs des autorités de contrôle ▪ Renforcer les droits des personnes à disposer de leurs données et à limiter leur collecte et leur usage ▪ Applicable lorsque le responsable du traitement des données est basé dans l’UE ▪ Ou lorsque les personnes concernées se trouvent dans l’UE ▪ Les amendes peuvent aller jusqu’à 4% du CA ou 20 M€ ▪ Un premier seuil de sanction à 2% du CA ou 10 M€ pour les infractions les moins graves Pénalités Périmètre Enjeux 10
  11. 11. Deux focus pour les différents chantiers d’un projet de mise en conformité RGPD : l’évolution de la relation client & la transformation interne Application des modalités légales de collecte et de traçabilité du consentement CONSENTEMENT Application des modalités de la loi à votre contexte et identification des besoins fonctionnels - Droit à la limitation de traitement - Droit à la portabilité - Droit au déréférencement (droit à l’oubli) Déploiement d’un « Privacy Center » centralisant les informations clés de la protection des données INFORMATION AUX CLIENTS NOUVEAUX DROITS Analyse du stock des données personnelles collectées et traitées, des durées de conservation des données et de leur sécurité Analyse et documentation des traitements et des processus métier (finalité, traitement, acteurs, outils…) et des différents transferts (revue des destinataires, y.c. hors UE) de données STOCK DE DONNÉES, CONSERVATION ET SÉCURITÉ TRAITEMENTS ET TRANSFERTS DE DONNÉES Analyse des contrats et de leurs clauses CONTRATS Analyse des pratiques de gestion de projet, définition des rôles (DPO) et des processus d’incidents en cas de fuite de données (inc. notification à la CNIL) ORGANISATION, NOTIFICATION ET CHANGE MANAGEMENT TRANSFORMATION INTERNE ÉVOLUTION DE LA RELATION CLIENT Périmètre de l’étude 11
  12. 12. Analyse de la conformité RGPD
  13. 13. Converteo – DOCUMENT CONFIDENTIEL – Infographie Célia 13
  14. 14. INFORMER – Collecte, traitement et partage des données personnelles 14 COLLECTE DES DONNÉES PERSONNELLES 12% des acteurs ne donnent pas d’information sur les données collectées et traitées PARTAGE DES DONNÉES PERSONNELLES 84% des acteurs ne donnent pas d’information sur les destinataires du partage des données personnelles 12% 84% Maître Ledieu – cabinet Bardehle Pagenberg Avocats « Le vrai changement imposé par la GDPR concerne l'obligation d'information par l'entreprise au profit des personnes dont les données sont traitées : qui suis-je ? Que puis-je faire avec cette data ? A qui ai-je le droit de la transférer et pourquoi ? Le traitement des données devient un contrat à part entière entre l'entreprise et les personnes concernées » ▪ Si la majorité des acteurs étudiés présente un premier niveau de maturité dans leur communication sur la gestion des données personnelles, tous les critères clés ne sont pas adressés exhaustivement : Pourquoi la donnée est collectée ? À quelle fin ? Pour quelle durée ? Pour quelle utilisation opérationnelle ? ▪ Par ailleurs 14% des sites n’indiquent pas explicitement aux internautes qui est le destinataire de leurs données (L’entreprise qui collecte ? Ses sous-traitants ? Ses partenaires ? Etc.) INFORMATION SUR LA COLLECTE & LE TRAITEMENT […] INFORMATION SUR LE PARTAGE 14 Politique de confidentialité d’un retailer français Politique de confidentialité d’un acteur du luxe international
  15. 15. INFORMER - Finalité de traitement (données personnelles) 15 FINALITÉ DE TRAITEMENT DE LA DONNÉE PERSONNELLE 40% des acteurs ne donnent pas d’information sur les finalités de traitement de la donnée personnelle 40% ▪ Le RGPD impose à toutes les entreprises susceptibles de collecter des données à caractère personnel d’un citoyen européen de se mettre en conformité vis-à-vis de l’information mise à disposition de ses audiences, prospects et clients. ▪ Un compromis doit être trouvé entre une collecte massive et une collecte progressive & raisonnée, pertinente et adaptée aux cas d’usage identifiés d’utilisation de ces données. FINALITÉ DE TRAITEMENT : DONNÉES PERSONNELLES 15 Politique de confidentialité d’un acteur du jeu en ligne international Maître Ledieu – cabinet Bardehle Pagenberg Avocats « La finalité du traitement, avec l’obligation d’information, constitue le cœur de la validité juridique d’un traitement de données à caractère personnel »
  16. 16. INFORMER – Durée de conservation (données personnelles) 16 CONSERVATION DES DONNÉES PERSONNELLES 76% des acteurs ne donnent pas d’information sur les durées de conservation des données personnelles 76% ▪ Les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement d(es)’ un objectif(s) qui étai(en)t poursuivi(s) lors de leur collecte ▪ Une durée de conservation des données doit être définie et communiquée à chaque utilisateur lors du dépôt de celles-ci « La non-conformité sur la durée de conservation des données qu’elles soient personnelles ou pas vient souvent des paramétrages par défaut des durées de rétention des technologies concernées mais également d’un manque de gouvernance et de clarté des règles de gestion des entreprises et entre les différents métiers/services concernés » 16 Dounia Zouine – Manager Converteo DURÉE DE CONSERVATION DE LA DONNÉE PERSONNELLE Politiques de confidentialité d’un acteur du luxe Français
  17. 17. CONSENTEMENT - Collecte du consentement à traiter les données personnelles 17 94% ▪ Si 94% des acteurs ne collectent pas de consentement pour traiter les données personnelles à des fins de recommandations, personnalisation, scoring, etc. Il convient de distinguer : ▪ Les acteurs n’effectuant pas ces actions marketing ou ayant un intérêt légitime à le faire et qui n’estiment pas avoir besoin d’obtenir un consentement (ce sur quoi nous n’avons pas de visibilité, l’étude se faisant exclusivement sur les plateformes digitales) ▪ Des acteurs utilisant ces procédés sans intérêt légitime mais ne collectant pas de consentement (donc en non-conformité avec le RGPD) COLLECTE DU CONSENTEMENT POUR TRAITER LES DONNÉES PERSONNELLES 84% … à des fins de prospection commerciale / ciblage publicitaire … à des fins de recommandations produits, personnalisation, scoring, etc. 94% des acteurs sont non conformes : les sites ne demandent aucun consentement ou cochent par défaut le consentement 84% des acteurs sont non conformes COLLECTE DU CONSENTEMENT À DES FINS DE RECOMMANDATION ET DE PROSPECTION Romain Gauthier – CEO Didomi « La collecte du consentement tel que défini par le RGPD est très encadrée : le consentement doit être informé, spécifique, univoque, libre et démontrable. La technologie permet aujourd’hui d’aider les entreprises sur les 3 étapes de la gestion du consentement : sa collecte, son stockage et sa diffusion à des tiers. » 17 Module de collecte du consentement proposé par un acteur international FMCG alimentaire
  18. 18. CONSENTEMENT – Mise à jour du consentement à traiter les données personnelles 18 ▪ Le principe de recueil (et de traçabilité) du consentement prend les acteurs de court, du fait d’une politique de l’approbation désormais éclairée (opt-in), contrastant avec un accord jusque là implicite (opt-out) présumé de la part des internautes pour le dépôt de cookie ▪ Quand elle est adressée, la mise à jour du consentement ne concerne que les traitements relatifs à la prospection commerciale par email ou au profilage MISE À JOUR DU CONSENTEMENT 64% des acteurs ne permettent pas encore à leurs utilisateurs de mettre à jour leurs consentements 64% MISE À JOUR DU CONSENTEMENT « Il appartiendra à l'entreprise de choisir au préalable si son traitement est fondé sur le consentement ou l'une des 5 autres modalités légales : "traitement sans consentement nécessaire à l'exécution d'un contrat", "traitement sans consentement nécessaire aux fins des intérêts légitimes du responsable du traitement", etc. Et il faudra le révéler clairement et au préalable aux internautes » 18 Maître Ledieu – cabinet Bardehle Pagenberg Avocats
  19. 19. LIMITATION DE TRAITEMENT – Permettre de limiter ou de s’opposer aux traitements 19 ▪ Pour une grande majorité des acteurs permettant de faire valoir le droit à l’opposition de traitement des données personnelles, cette limitation se restreint au cadre de l’emailing (newsletter) et doit encore être étendue aux autres traitements ▪ Ce droit d’opposition permet en outre, dans le cas où l’impact est juridique/légal, à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé Dounia Zouine – Manager chez Converteo 60% des acteurs n’informent pas des traitements réalisés sur les données personnelles ou ne permettent pas de les limiter LIMITATION DE TRAITEMENT DES DONNÉES PERSONNELLES EXEMPLE DE MODULE D’ACCEPTATION DES TRAITEMENTS DES COOKIES, REPLIQUABLE POUR LES DONNÉES À CARACTÈRE PERSONNEL 60% 19 « La difficulté ici vient de la définition large d’un traitement dans le RGPD; est un « traitement » toute manipulation de données [personnelles]. Depuis la collecte jusqu’à la suppression. ET TOUS les traitements effectués entre la collecte des données jusqu’à leur effacement.» : calcul, archivage, visualisation, mise à jour, suppression, collecte, transfert, injection dans un algorithme, etc. Tous sont concernés et nécessitent d’apparaître dans un registre de traitement. » Module de gestion des cookies proposé par un acteur média Français
  20. 20. PORTABILITÉ & EFFACEMENT DES DONNÉES 20 PORTABILITÉ DES DONNÉES 84% des acteurs sont non-conformes (dont 79% qui ne donnent aucune information sur le droit à la portabilité des données) DROIT À L’EFFACEMENT 54% des acteurs informent et offrent un service d’effacement des données 84% ▪ Seules 16% des marques de notre panel permettent au client de se réapproprier ses données personnelles ▪ Le droit à l’effacement, tel qu’introduit par le RGPD (ie. le droit de soustraire ses données personnelles à un traitement donné), est encore mal géré par les marques qui, pour la plupart, ne distinguent pas le droit à corriger/supprimer ses données personnelles, du droit à les soustraire à un traitement spécifique. MODULE DE RÉCUPÉRATION DES DONNÉES Chiffre clés « Aucun des acteurs audités n’offre la possibilité de gérer la portabilité de ses données vers un service tiers (en cas de churn, et/ou de passage à la concurrence par exemple) » 54% 20
  21. 21. PURE Players vs NON-PURE Players INFORMER sur la collecte et les finalités de traitement des données personnelles 21 ▪ Les pure players (*) communiquent davantage sur les données collectées et leurs finalités, ils ne sont que 17% à ne pas être en conformité sur cette thématique par rapport au RGPD alors que plus de la moitié des acteurs « classiques » ne l’est pas. 53% INFORMER SUR LA COLLECTE DONNÉE PERSONNELLE INFORMER SUR LA FINALITÉ DE TRAITEMENT DE DONNÉE PERSONNELLE Chiffre clés « Seuls 3% des non-Pure Players fournissent une information détaillée sur les données qu’ils collectent/traitent » (*) acteur exerçant son activité commerciale exclusivement sur Internet 36% 21 17% 17% Dounia ZOUINE – Manager chez Converteo « Il est certes plus facile de se mettre en conformité sur ce critère quand on est un Pure Player, les efforts se concentrant sur un seul canal d’interaction avec les clients et les prospects. C’est aussi autour de leurs pratiques de Marketing digital que historiquement les différentes réglementations se sont structurées. Les autres acteurs peuvent s’inspirer de leur bonnes pratiques matures pour les répliquer à leur contexte »
  22. 22. DÉPÔT DU COOKIE FOCUS COOKIE – Gérer le dépôt, la durée de conservation et la limitation de traitement 22 Seuls 6% n’informent pas sur les cookies déposés Chiffre Clé : 13 mois, durée de vie du cookie « Seulement 5% des acteurs audités déposent des cookies ayant une durée de conservation inférieure à 13 mois (recommandation CNIL) » ▪ Le cookie, en tant qu’identifiant pseudonymisé unique, dispose d’une adhérence non nulle avec le RGPD. Pour autant et à date, la règlementation reste indistincte quant à ceux-ci. ▪ La discipline dont doit faire preuve chaque entreprise vis-à-vis de son dépôt de cookies sera un atout majeur dans l’approche avec laquelle les chantiers de mise en conformité RGPD seront priorisés et adressés. COOKIES DÉPOSÉS Seuls 7% des acteurs fournissent des informations détaillées doublées d’un module d’acceptation ACCEPTATION / REFUS 22 6% 7% … pour autant : Alors que l’évolution de la règlementation sur les cookies n’est pas encore arrêtée, la proximité fonctionnelle (relative à l’identification) avec la donnée à caractère personnelle a également amené Converteo à auditer les marques sur cet aspect LIMITATIONDURÉE DE CONSERVATION CONSERVATION DES COOKIES 85% des acteurs ne donnent pas d’information sur les durées de conservation des cookies 85% 80% des acteurs n’informent pas des traitements réalisés sur les cookies ou ne permettent pas de les limiter 80% LIMITATION DE TRAITEMENT
  23. 23. Synthèse des bonnes pratiques de Data Privacy
  24. 24. Trois bonnes pratiques de gestion des données personnelles et des cookies à retenir 24 Mettre à disposition des utilisateurs des solutions simples de gestion des informations désormais obligatoires et des nouveaux droits Adopter une communication pédagogique 24 1 2 3 Communiquer en toute transparence sur les traitements, leurs finalités, leur fondement juridique & les durées de conservation
  25. 25. Adopter une communication pédagogique, simple, accessible et transparente 25 Rédiger une politique de gestion des données personnelles clairement séparée des mentions légales ou des CGV/CGU Communiquer à la fois de manière simple et complète Développer du contenu dédié et pédagogique, sous des formats innovants 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Rappel : Art. 12 Transparence des informations sur le traitement des données et modalités de l'exercice des droits de la personne concernée 1 2 3 La Politique de confidentialité d’un acteur majeur des réseaux sociaux est scindée en 2 parties : ▪ La partie gauche contient l’intégralité des informations pertinentes et le détail de la politique ▪ La partie droite synthétise les informations clés L’espace de confidentialité France Télévisions met à disposition de ses utilisateurs du contenu vidéo illustrant la politique de gestion de données personnelles du groupe La politique de confidentialité de l’acteur est accessible depuis le footer, sur n’importe quelle page du site et de manière clairement séparée des conditions générales 1 25
  26. 26. Communiquer en toute transparence sur les traitements, leurs finalités, leur fondement juridique & les durées de conservation 26 2 Qualification de la donnée / du cookie Extrapoler ce que font certains acteurs vis-à-vis de leurs cookies sur la gestion des données à caractère personnel Présentation simple du traitement Date d’expiration par rapport à la finalité de conservation Service de refus / désactivation offert pour chaque traitement Liste exhaustive des traitements et des données impliquées 3 1 4 52 26
  27. 27. Mettre à disposition des utilisateurs des solutions simples de gestion des données, dans le prolongement de ce qui existe déjà côté cookies 27 Module de gestion des cookies d’un fournisseur d’énergie Français Module « sur mesure »Module tiers « intégré »Module tiers « externalisé » Les annonceurs ont adopté 3 approches distinctes afin de permettre à leurs utilisateurs de gérer efficacement les cookies : Les données sont regroupées par type de traitement / durée de conservation et l’utilisateur peut gérer les données à cette granularité 3 Module de gestion des cookies d’un retailer Français par Evidon Module de gestion des cookies proposé par Your on line Choices Le site de l’annonceur intègre un module de gestion des données détaillant pour chacun le nom, la finalité et le statut d’accord avec la possibilité d’opt-out Forces : ‒ Simplicité de mise en place ‒ Bonne intégration avec le site de l’annonceur Limites : ‒ Faible ergonomie et répétitivité pour chaque annonceur Forces : ‒ Simplicité d’utilisation et transparence vis-à-vis de l’utilisateur Limites : ‒ Complexité de mise en place avec des développements sur mesure Forces : ‒ Simplicité de mise en place Limites : ‒ Faible intégration avec le site de l’annonceur ‒ Complexité de gestion pour l’utilisateur avec potentiellement plusieurs dizaines de données répertoriées (non nécessairement pertinentes à l’échelle de l’annonceur) Le site de l’annonceur intègre un lien qui renvoie vers un module tiers de gestion des données détaillant pour chacun le nom, la finalité et le statut d’accord avec la possibilité d’opt-out 27
  28. 28. GAFA : quel niveau de conformité et quelles pratiques ?
  29. 29. La gestion et la protection des données chez les GAFA 29 Google Quelles fonctionnalités pour collecter l’accord et le désaccord au consentement ? Facebook Quelles fonctionnalités pour assurer la portabilité des données ? Apple Quelles modalités pour le droit d’opposition dans le cadre de la prospection ? Trois questions pour mesurer le niveau de maturité des GAFA en matière de gestion des données personnelles : 29
  30. 30. La gestion et la protection des données chez les GAFA L’exemple de Google : des espaces de communication et de gestion des données différenciés 30 Gestion des données personnelles par Google La communication relative à la gestion des données personnelles par Google est répartie sur 2 espaces distincts : 1. Un espace « Confidentialité » dédié à la politique générale de collecte et d’utilisation des données par Google 2. Un espace « Mon compte » dédié à la maitrise des données personnelles directement par les utilisateurs des services Google Espace Confidentialité https://privacy.google.com/intl/fr-CA/# Espace Mon Compte https://myaccount.google.com/ Services de maîtrise des données personnelles Google propose à ses utilisateurs dans leur espace « Mon compte » plusieurs services de gestion des données personnelles et notamment : 1. Une synthèse des données collectées sur les activités réalisées (consultation de vidéos Youtube…) avec la possibilité de les supprimer et d’activer/désactiver les modules de collecte des données 2. Un module de téléchargement des données collectées par les différents produits Google 1 2 30
  31. 31. La gestion et la protection des données chez les GAFA L’exemple de Google : des fonctionnalités pour assurer la gestion du consentement 31 1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant […], y compris un profilage. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne prouve qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Rappel : Art. 21 3. La personne concernée a le droit de retirer son consentement à tout moment. […] Il est aussi simple de retirer son consentement que de le donner. Rappel : Art. 7 Conditions applicables au consentement Droit d’opposition et prise de décision individuelle automatisée Google met à disposition de ses utilisateurs, dans leur espace « Mon compte », des modules permettant de gérer le consentement. La force de ces interfaces repose à la fois sur la simplicité d’utilisation et sur des scenarios différenciés pour gérer l’accord et le désaccord : Donner son consentement : Communication orientée sur l’apport de valeur pour l’utilisateur et les modalités de collecte des données Retirer son consentement : Communication orientée sur la perte de valeur/ de service pour l’utilisateur et les modalités de conservation des données déjà collectées 31
  32. 32. La gestion et la protection des données chez les GAFA L’exemple de Facebook : une communication riche et didactique 32 Sources : https://www.facebook.com/policy.php - Juillet 2017 Structure de la Politique d’utilisation des données Facebook Contenu relatif à l’utilisation des données personnelles La Politique d’utilisation des données Facebook est parmi les plus complètes et riches du marché. Elle centralise l’ensemble des informations clés imposées par le GDPR (données collectées, finalités, traitements…). Le réseau social a également développé un grand nombre de contenus didactiques pour illustrer l’usage des données, y compris publicitaire. 32
  33. 33. La gestion et la protection des données chez les GAFA L’exemple de Facebook : des fonctionnalités pour assurer la portabilité des données 33 Facebook met à disposition de ses utilisateurs une interface permettant de télécharger les données personnelles collectées par le réseau social. Cette interface, accessible depuis n'importe quelle page du réseau une fois identifié, propose un élément de réponse à la question de la portabilité des données. Procédure à suivre : 1. Accéder à l’interface de téléchargement des données 2. Effectuer une demande de création d’archive personnelles et s’identifier 3. Télécharger l’archive créée contenant une interface html permettant d’accéder à : ‒ L’ensemble des données du profil et des coordonnées ‒ L’historique des photos et des vidéos publiées ‒ L’historique des discussions passées via messenger ‒ L’ensemble des interactions (posts, like…) sur le réseau social En revanche, aucune fonctionnalité de transfert des données vers un autre responsable de traitement n’est actuellement mise à disposition. 1 Fonctionnalité de gestion de la portabilité des données Contenu relatif à l’utilisation des données personnelles 3 2 1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. 2. Lorsque la personne concernée exerce son droit à la portabilité des données […], elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible. Rappel : Art. 20 Rectification et effacement 33
  34. 34. La gestion et la protection des données chez les GAFA L’exemple d’Apple: des fonctionnalités pour assurer le droit d’opposition à la prospection 34 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. 3. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins. Rappel : Art. 21 Droit d’opposition Collecte des données et profilage prospectif Fonctionnement du droit d’opposition iOS Afin de réaliser un ciblage publicitaire dans Apple News et dans l’Apple Store, le groupe utilise plusieurs types de données personnelles, notamment : ‒ Les paramètres de l’appareil utilisé ‒ La géolocalisation ‒ Les recherches dans l’App Store ‒ Les articles consultés dans l’Apple News ‒ Les données de compte (données de contact, données sociodémographiques…) Sources : https://support.apple.com/fr-fr/HT205223 - Juillet 2017 Pour assurer le droit d’opposition dans le cadre de la prospection, Apple propose 2 fonctionnalités : 1. La désactivation des publicités ciblées 2. La désactivation des publicités ciblées selon la localisation La plateforme publicitaire d’Apple ne reçoit pas des informations liées à la localisation lorsque le service de localisation est désactivé sur l’appareil Si le suivi publicitaire limité est activé, l’identifiant Apple n’est plus abonné aux annonces ciblées envoyées par la plateforme publicitaire d’Apple, quel que soit l’appareil utilisé. La réinitialisation de l’identifiant publicitaire permet d’effacer toutes les données qui y sont associées 34
  35. 35. Annexes
  36. 36. Rappel : Le General Data Protection Regulation en synthèse : 4 définitions clés à retenir et leur illustration dans un contexte marketing Toute information se rapportant à une personne physique identifiée ou identifiable […] Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale Données à caractère personnel Rappel : Art. 4.1. Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction Traitement Rappel : Art. 4.2. Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique Profilage Rappel : Art. 4.4. Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable Pseudonymisation Rappel : Art. 4.5. Exemples marketing : Ex 1 : L’analyse des données comportementales et le calcul de scores d’appétences/de chaleur dans les outils de marketing automation Ex 2 : Le calcul de probabilité de conversion ou de churn par les data scientists Exemples marketing : Ex 1 : La collecte des données comportementales on-site (rattachées à un id client) avec un outil d’Analytics puis l’hébergement et l’analyse dans un DataLake constituent a minima 3 traitements Ex 2 : L’historisation et l’archivage des dossiers clients papier Exemples marketing : Ex 1 : Données CRM (nom, prénom, date de naissance, données de contact, adresse, données sociodémographiques…) et transactionnelles (historique d’achat) Ex 2 : Données comportementales web et clé de matching avec le fichier clients (id client unique…) Exemples marketing : Ex 1 : Données comportementales uniquement rattachées à un id cookie Ex 2 : Données calculées (score d’appétence, score de pression marketing…) uniquement rattachées à un id client et non stockées dans l’outil CRM 36
  37. 37. Merci de votre attention Converteo – DOCUMENT CONFIDENTIEL – Nous remercions vivement : Maître Ledieu, cabinet Bardehle Pagenberg, Avocat Romain Gauthier, Didomi, CEO Jawad Stouli, Didomi, CTO LES AUTEURS : Dounia ZOUINE Manager @ dz@converteo.com D +33 1 84 16 06 65 Thomas Clavelloux Consultant Senior @ tc@converteo.com D +33 1 85 08 40 63 Louis Dauchy Consultant Senior @ ld@converteo.com D +33 1 86 95 71 86 Thibauld Vian Consultant Senior @ tv@converteo.com D +33 1 86 95 71 11 Julien Gaillet Consultant @ jg@converteo.com Converteo – Baromètre RGPD

×