SlideShare une entreprise Scribd logo
1  sur  44
10 lundis 
pour 
rattraper 
le train du 
digital 
Legal aspects related to privacy 
Jan Decorte & Ann Fromont
10 lundis 
pour 
rattraper 
le train du 
digital 
Le marketing digital : 
un secteur en pleine expansion 
• Deux grands segments : 
• “Search marketing” : visibilité d’un site web sur les moteurs de recherche ; 
• “Display marketing” : affichage d’un contenu publicitaire sur un site de 
contenu éditorial (bannière, vidéo, etc.) 
• Mais aussi : 
• Email marketing 
• Viral marketing 
• Social marketing 
• Affiliate marketing 
• Automated trading and real-time bidding 
• Etc.
10 lundis 
pour 
rattraper 
le train du 
digital 
1. Introduction générale sur la loi « Vie Privée » 
2. Les risques et sanctions en cas de non-respect de la 
loi « Vie Privée » 
3. Examen de quelques pratiques spécifiques 
3 
Les aspects légaux
10 lundis 
pour 
rattraper 
le train du 
digital 
4 
1. Introduction générale sur la loi « Vie Privée » 
A. Principes et concepts généraux 
B. Bases légales (et limites)
10 lundis 
pour 
rattraper 
le train du 
digital 
A. Concepts généraux 
 Donnée personnelle : tout élément permettant d’identifier une personne physique, 
ou la rendant directement ou indirectement identifiable ; 
 Traitement : toute opération, automatisée ou non 
p.ex. la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, 
l'extraction, la consultation, l'utilisation, la communication, diffusion ou toute autre forme de mise à 
disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de 
données à caractère personnel ; 
 Responsable du traitement : la personne qui détermine les moyens et les finalités 
d’un traitement ; 
 Sous-traitant : toute personne traitant des données à caractère personnel pour le 
compte du responsable du traitement ; 
 Destinataire : la personne qui reçoit les données (tiers ou non) ; 
 Tiers : toute personne autre que la personne concernée, le responsable du 
traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du 
responsable du traitement ou du sous-traitant, sont habilitées à traiter les données 
5
10 lundis 
pour 
rattraper 
le train du 
digital 
6 
Données 
personnelles 
sensibles 
Données 
personnelles 
Données 
pseudonymes 
Données 
anonymes 
6 
Différents types de données 
personal data relating to race or ethnic origin, political opinions, religion 
or philosophical beliefs, sexual orientation or gender identity, trade-union 
membership and activities, genetic or biometric data, health or sex life, 
administrative sanctions, judgments, criminal or suspected offences, 
convictions, or related security measures 
any information relating to an identified or identifiable natural person 
who can be identified, directly or indirectly, in particular by reference to an 
identifier such as a name, an identification number, location data, unique 
identifier or to one or more factors specific to the physical, physiological, 
genetic, mental, economic, cultural or social or gender identity of that 
person 
personal data that cannot be attributed to a specific data subject without 
the use of additional information, as long as such additional information is 
kept separately and subject to technical and organisational measures to 
ensure non-attribution 
data which are neither personal data, nor pseudonymous data
10 lundis 
pour 
rattraper 
le train du 
digital 
A. Principes généraux 
 Principes de légalité 
 Le traitement doit reposer sur une base légale 
 Principe de finalité 
 But spécifique, adéquat et légitime 
 Principe de proportionnalité 
 Données adéquates, pertinentes et non excessives 
 Données exactes et à jour 
 Durée de conservation raisonnable 
 Sécurité et confidentialité 
 Protection de l’accès aux données (serveurs sécurisés, mots de passe, etc.) 
 Engagements de confidentialité 
 Déclaration auprès de la Commission Vie Privée 
 Sauf exemptions (A.R. 13/02/2001) 
7
10 lundis 
pour 
rattraper 
le train du 
digital 
A. Principes et concepts généraux 
Champ d’application 
1. Matériel : Article 3 Loi 12/08/1992 
 Application : 
Traitement automatisé en tout ou en partie ; 
Traitement non automatisé de données à caractère personnel contenues ou 
appelées à figurer dans un fichier (ensemble structuré). 
 Exclusion : 
Traitement effectué par une personne physique pour l'exercice d'activités 
exclusivement personnelles ou domestiques. 
 Modalisation : 
Traitement à des fins journalistiques / artistiques / littéraires. 
8
10 lundis 
pour 
rattraper 
le train du 
digital 
A. Principes et concepts généraux 
Champ d’application 
2. Territorial : Article 3 bis Loi 12/08/1992 
« 1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un 
établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi 
belge s'applique en vertu du droit international public; 
2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le 
territoire de la Communauté européenne et recourt, à des fins de traitement de données à 
caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres 
que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge. 
Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un 
représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être 
introduites contre le responsable du traitement lui-même. » 
9
10 lundis 
pour 
rattraper 
le train du 
digital 
B. Bases légales (et limites) 
La finalité doit être spécifique et autorisée par la loi 
6 cas de figure : 
 Consentement ; 
 Nécessaire pour l’exécution d’un contrat ; 
 Obligation légale ; 
 Protection de l’intérêt vital ; 
 Nécessaire à l’accomplissement de missions d’intérêt public ou à l’exercice de 
l’autorité publique ; 
 Nécessaire à la poursuite d’intérêts légitimes du responsable du traitement, à 
condition que les intérêts de la personne concernée ne prévalent pas (balance 
équitable). 
10
10 lundis 
pour 
rattraper 
le train du 
digital 
Consentement ? 
 Libre: réelle liberté de choix ; 
 Spécifique: la portée exacte du consentement donné doit être connue ; 
 Informé: de toutes les informations nécessaires pour évaluer exactement les 
conséquences du consentement. 
 En pratique: Privacy Policy / Politique de confidentialité / Charte Vie Privée 
11 
B. Bases légales (et limites)
10 lundis 
pour 
rattraper 
le train du 
digital 
12 
2. Les risques et sanctions en cas de non-respect de la 
Loi Vie Privée 
A. Sanctions pénales 
B. Sanctions administratives 
 La réalité de la Commission Vie Privée 
 Le projet de règlement européen 
C. Sanctions civiles
10 lundis 
pour 
rattraper 
le train du 
digital 
A. Sanctions pénales 
• Articles 38-42 Loi Vie Privée 
 Pas de pouvoir direct de sanction de la Commission Vie Privée 
 Peut transmettre le dossier au Procureur du Roi 
• Sanctions concrètes 
 Emprisonnement de 3 mois à 2 ans 
 Amendes de 100 à 100.000 EUR 
 Publicité du jugement 
 Confiscation du matériel 
13
10 lundis 
pour 
rattraper 
le train du 
digital 
Organisme faisant autorité ou simple référence ? 
 Créée 1992 / Organe de contrôle indépendant / 16 membres / Comités sectoriels 
 Missions : 
 Consultation sur toute question liée à la protection de la vie privée 
 Information et assistance 
 Contrôle et inspection 
 Gestion des plaintes 
 En pratique: 
- Médiation ; 
- Avis sur le caractère fondé d’une plainte ; 
- Influence dans le cadre d’une procédure pénale / civile. 
14 
B. Sanctions administratives 
La réalité la Commission Vie Privée
10 lundis 
pour 
rattraper 
le train du 
digital 
European wind of change ? 
 Voué à remplacer la Directive 95/46/CE  vers une plus grande homogénéité 
 Quelques modifications importantes: 
 Extra-territorialité 
 One-stop-shop 
 Data protection officer (> 5000 personnes concernées) 
 European Data protection Board / Comité européen de la protection des données 
 Sanctions (!): Amendes jusqu’à 100.000.000 € ou 5% du chiffre d’affaires mondial. 
 Notification violation dans les 72 heures 
 Timing: adoption PE 1ère lecture 11/03/2014 - best case scenario: fin 2015 (?) 
15 
B. Sanctions administratives 
Le projet de règlement européen
10 lundis 
pour 
rattraper 
le train du 
digital 
C. Sanctions civiles 
 Action en cessation devant le Président du TPI : Article 14 L 08/12/1992 
 Exemple pratique : marketing viral 
Cour d’appel de Liège, 19 novembre 2009 : confirme ordonnance de cessation avec 
astreinte de 10.000€ par infraction constatée (TPI Huy) 
 Responsabilité contractuelle ou extracontractuelle : Article 15 L 08/12/1992 
« Le responsable du traitement est responsable du dommage causé par un acte contraire 
aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette 
responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. » 
 Obstacle : quel est le dommage subi ? 
 Exemples pratiques : 
 Atteinte à l’honneur et à la réputation ; 
 Détournement d’informations bancaires ; 
 Collecte illicite de données et dommage causé par un tiers destinataire ; 
 … 
 ! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droit 
économique) E.V. : 1er septembre 2014 
16
10 lundis 
pour 
rattraper 
le train du 
digital 
C. Sanctions civiles 
! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droit 
économique) E.V. : 1er septembre 2014 
 QUI ? (Art. XVII.38 et 39) 
Un groupe de consommateur lésés, à titre individuel, par un intérêt commun, représenté par : 
‐ une association de défense des consommateurs (P.J., siégeant au Conseil de la Consommation 
ou agréée par le ministre sur base des critères à déterminer par A.R.) ; 
‐ une asbl agréée par le ministre (P.J. depuis au moins 3 ans), dont l'objet social est en relation 
directe avec le préjudice collectif subi ; 
‐ le Service de Médiation pour le consommateur, uniquement en vue de représenter le groupe 
dans la phase de négociation d'un accord de réparation collective. 
 OÙ et COMMENT ? (Art. XVII.35 et 43) : requête au TPI ou Trib. Comm. de Bruxelles 
 PROCEDURE ? 
‐ Phase de négociation : dans un délai de 1 à 3 mois ; 
‐ Phase de décision sur le fond : le cas échéant, montant à répartir entre les personnes lésées. 
17
10 lundis 
pour 
rattraper 
le train du 
digital 
18 
3. Examen de quelques pratiques spécifiques 
A. Cas simples 
B. Pratiques sensibles 
 Email marketing 
 Viral marketing 
 Online behavioural advertising 
 Big Data 
 …
10 lundis 
pour 
rattraper 
le train du 
digital 
Politique de confidentialité 
Les bonnes questions à se poser : 
 Y’a-t-il un traitement de données personnelles ? 
 Dans quel but ce traitement est-il effectué ? 
 Faut-il demander le consentement ? 
 Les données seront-elles conservées ? 
 Les données seront-elles transmises à un tiers ? 
 Les données seront-elles transférées dans un pays tiers ? 
19 
A. Cas simples 
Sites purement informatifs ou sites d’e-commerce
10 lundis 
pour 
rattraper 
le train du 
digital 
Politique de confidentialité 
Informations à fournir : 
 Nom et adresse du responsable 
 Finalités du traitement 
 Droits de la personne concernée : accès, rectification, opposition 
 Destinataires des données 
 Réponse obligatoire ou non 
20 
A. Cas simples 
Sites purement informatifs ou sites d’e-commerce
10 lundis 
pour 
rattraper 
le train du 
digital 
21 
A. Cas simples 
Sites purement informatifs ou sites d’e-commerce
10 lundis 
pour 
rattraper 
le train du 
digital 
 Consentement préalable, libre, spécifique et informé 
= « opt-in » 
 Sauf en cas d’opposition manifeste = « opt-out » : 
• Personnes morales (adresse impersonnelle) : info@..., helpdesk@..., 
contact@..., etc. 
• Clients existants pour produits / services analogues 
 La publicité doit être clairement identifiable comme telle et 
mentionner : 
• la personne physique ou morale pour le compte de laquelle elle est faite ; 
• le droit de s’opposer, pour l’avenir, à recevoir des publicités ; 
• le moyen d’exercer efficacement ce droit par voie électronique. 
22 
B. Pratiques sensibles 
Email marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Qu’est-ce que le marketing viral ? 
« Le but premier de l’annonceur consiste toujours in fine à promouvoir la vente d’un produit ou 
d’un service, même si en pratique, le caractère publicitaire du message ou la marque 
n’apparaissent pas toujours dès le début de la campagne. » 
http://economie.fgov.be 
« Inciter une personne à communiquer des données à caractère personnel d'amis ou de 
connaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnel 
ainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parce 
que les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pas 
non plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propres 
données à caractère personnel. » 
http://www.privacycommission.be 
23 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Qu’est-ce que le marketing viral ? 
Pas de définition légale 
Pose 3 questions principales : 
 Faut-il indiquer la mention « publicité » ? 
 La marque est clairement visible sur le support ? - Caractère publicitaire manifeste 
 Teasing ? - Caractère publicitaire ambigu 
 Faut-il indiquer les coordonnées du vendeur ? 
L’information doit être aisément disponible : lien vers site web = OK 
 Qui traite les données ? 
24 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Le marketing viral est-il légal ? 
Trois types de marketing viral : 
1. Outil de collecte d'adresses électroniques 
2. Simple incitation à transmettre un message 
3. Application permettant de transmettre plus facilement un message à des 
contacts (« amis ») 
25 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Le marketing viral est-il légal ? 
1er cas: Outil de collecte d'adresses électroniques – Attention! 
L’annonceur réalise trois opérations : 
 collecte des adresses e-mail chez ses clients/prospects 
 envoie un message (texte ou vidéo) aux amis de son client 
 enregistre les adresses e-mails 
La collecte et l’enregistrement d’adresses e-mail est un traitement de 
données à caractère personnel : 
– Déclaration du traitement auprès de la CPVP 
– Les finalités doivent être légitimes 
– Information de la personne concernée 
– Droit d’accès et de rectification 
Envoi d’e-mails : lorsque l’annonceur envoie un message publicitaire aux amis 
de ses clients, il s’agit d’un courrier électronique non sollicité (spam) : opt-in 
26 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Le marketing viral est-il légal ? 
2ème cas : Simple incitation à transmettre un message – OK ! 
Le consommateur est encouragé à transmettre un message, un lien, une vidéo à ses amis par 
les moyens qu’il choisit lui-même: 
– Réseaux sociaux (Netlog, Facebook, Twitter, Myspace, …) 
– Courrier électronique 
– Blogs personnels 
– Messageries instantanées 
– Transmission hors ligne 
Différents types de campagne : 
– Sites Internet dédiés à une campagne 
– Partage d’économiseurs d’écran 
– Films sur Youtube ou Dailymotion 
– Jeux promotionnels 
– Groupes sur des réseaux sociaux 
27 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
Le marketing viral est-il légal ? 
3ème cas : Application permettant de transmettre plus facilement un message à des 
contacts – Cas limite 
– Possibilité de limiter les risques d’illégalité : l’annonceur n’envoie pas de message, c’est le 
consommateur qui le fait avec l’aide de l’annonceur ; 
– L’annonceur offre un outil technique pour transmettre un message ; 
– L’annonceur ne collecte pas les données (pas d’enregistrement) 
Selon la Commission Vie Privée, les actions de marketing viral sont illégales au regard de la loi 
« Vie privée » au motif qu’elles « semblent pas bénéficier de suffisamment de légitimité à la 
lumière de la LVP » 
Mais : 
– S’agit-il d’un traitement de données à caractère personnel? 
– L’annonceur est-il le responsable du traitement? 
28 
B. Pratiques sensibles 
Viral marketing
10 lundis 
pour 
rattraper 
le train du 
digital 
B. Pratiques sensibles 
Online behavioural advertising 
• Attrait du digital : payer moins pour une audience plus 
pertinente 
• Publicité contextuelle : liée au contenu de la page web 
Ex. : AdSense (Google) 
• Publicité comportementale : liée au comportement de 
l’utilisateur 
Ex. : DoubleClick (Google), Beacon (Facebook), etc.
10 lundis 
pour 
rattraper 
le train du 
digital 
Qu’est-ce que la publicité comportementale ? 
 Publicité comportementale simple : 
 Collecte directe et visible (formulaires) ; 
 Collecte directe et invisible (comportement). 
 Publicité comportementale de réseau : 
 Collecte indirecte et invisible par le biais du réseau publicitaire 
(comportement à travers les sites). 
Un nouvel intermédiaire est né : 
le fournisseur de réseau publicitaire 
30 
B. Pratiques sensibles 
Online behavioural advertising
10 lundis 
pour 
rattraper 
le train du 
digital 
31 
Consommateur 
http://SF-hotel-review.com http://dogsblogs.com http://social-network.net 
Pub: 
Hotel 
Supersite 
Pub: 
Hotel 
Supersite 
Cookie 
ID = 12345 
Cookie 
ID = 12345 
Cookie 
ID = 12345 Cookie 
ID = 12345 
visite Social 
Network 
Cookie 
ID = 12345 
visite SFHotels 
Cookie 
ID = 12345 
visite Dogsblogs 
Fournisseur de 
réseau de 
publicités
10 lundis 
pour 
rattraper 
le train du 
digital 
32 
B. Pratiques sensibles 
Online behavioural advertising 
A partir de quand identifie-t-on une personne physique ? 
un appareil = une personne physique ? 
Exemples : 
- Utilisateur enregistré sur un site web (e-commerce) ; 
- Recoupement de données entre sites ; 
- Informations disponibles auprès des FAIs.
10 lundis 
pour 
rattraper 
le train du 
digital 
33 
Consommateur 
Jean Dupont 
Bruxelles (BE) 
http://www.dogzblogs.com 
Jean Dupont 
Bruxelles (BE) 
visite DogsBlogs 
Fournisseur de 
réseau de 
publicités 
Cookie 
ID = 12345
10 lundis 
pour 
rattraper 
le train du 
digital 
34 
B. Pratiques sensibles 
Online behavioural advertising 
En présence de données à caractère personnel : 
application du régime général prévu par la loi du 8 décembre 1992 
sur le traitement des données personnelles 
Les bons réflexes : 
 Dans quel but ce traitement est-il effectué ? 
 Faut-il demander le consentement ? 
 Quelle information faut-il donner et quand ? 
 Combien de temps les données seront-elles conservées ? 
 A qui les données seront-elles transmises ? (catégories de destinataires) 
 Les données seront-elles transférées vers un pays tiers à l’UE ? (si oui: 
conditions !) 
 Faut-il déclarer le traitement ?
10 lundis 
pour 
rattraper 
le train du 
digital 
35 
B. Pratiques sensibles 
Online behavioural advertising 
Même en l’absence de données à caractère personnel : 
application de l’art. 129 de la loi du 13 juin 2005 sur les communications 
électroniques (cookies) 
En cas de dépôt et lecture d’informations sur un équipement terminal : 
- quelle que soit la technologie empruntée (cookies http, cookies flash, pixels 
invisibles, etc.) ; 
- quel que soit le moment (consultation site web, emails, etc.) ; 
- quel que soit le terminal concerné (ordinateur, tablette, smartphone, TV 
connectée, console de jeux, etc.).
10 lundis 
pour 
rattraper 
le train du 
digital 
36 
B. Pratiques sensibles 
Online behavioural advertising 
Article 129 L. 13 juin 2005: le principe 
« Le stockage d'informations ou l'obtention de l'accès à des informations déjà 
stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est 
autorisée uniquement à condition que : 
1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées 
dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard 
des traitements de données à caractère personnel, des informations claires et 
précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 
décembre 1992 ; 
2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été 
informé conformément aux dispositions visées au point 1. »
10 lundis 
pour 
rattraper 
le train du 
digital 
37 
B. Pratiques sensibles 
Online behavioural advertising 
Article 129 Loi du 13 juin 2005 : les exceptions 
« L'alinéa 1er n'est pas d'application pour l'enregistrement technique des 
informations ou de l'accès aux informations stockées dans les équipements 
terminaux d'un abonné ou d'un utilisateur final 
 ayant pour seul but de réaliser l'envoi d'une communication via un réseau de 
communications électroniques ou ; 
 de fournir un service demandé expressément par l'abonné ou l'utilisateur final 
lorsque c'est strictement nécessaire à cet effet. »
10 lundis 
pour 
rattraper 
le train du 
digital 
38 
B. Pratiques sensibles 
Online behavioural advertising 
Avis 4/2012 du Groupe 29 : typologie des cookies 
 Cookies « intrusifs » : consentement explicite requis 
• les cookies de modules sociaux de pistage ; 
• les cookies publicitaires de tiers ; 
• les cookies analytiques d’origine ; 
• … 
 Cookies « non-intrusifs » : consentement explicite n’est pas requis 
• les cookies alimentés par l’Internaute (p.ex. panier d’achat) ; 
• les cookies d’authentification ; 
• les cookies de sécurité centrés sur l’Internaute ; 
• les cookies de personnalisation de l’interface utilisateur (p.ex. préférences 
linguistiques) ; 
• les cookies de modules sociaux de partage de contenu ; 
• ...
10 lundis 
pour 
rattraper 
le train du 
digital 
39 
Exemples
10 lundis 
pour 
rattraper 
le train du 
digital 
40 
B) Utiliser les cookies en toute légalité
10 lundis 
pour 
rattraper 
le train du 
digital 
41 
B. Pratiques sensibles 
Online behavioural advertising 
 Présence d’une bannière informant sur : 
• Les finalités : 
« afin de vous offrir une meilleure expérience de navigation » 
• Les moyens de s’opposer : 
« voir notre Politique de Cookie » 
• Le dépôt de cookies en cas de poursuite de la navigation : 
o « J’accepte tous les cookies pour les sites de Rezidor Hotels » (précoché) 
o « Je suis conscient que certains cookies sont requis pour l’utilisation des sites de 
Rezidor Hotels, mais je n’accepte pas les cookies qui collectent des informations 
au-delà de cette portée » (à cocher) 
 Présence d’une Politique de confidentialité : 
• indiquant comment activer / désactiver les cookies ; 
• en danois uniquement !
10 lundis 
pour 
rattraper 
le train du 
digital 
42 
www.youronlinechoices.com (OBA Framework)
10 lundis 
pour 
rattraper 
le train du 
digital 
43 
B. Pratiques sensibles 
Online behavioural advertising 
Quelles sont les modifications essentielles à venir ? 
• Un nouveau concept : les “données pseudonymes” 
= des données à caractère personnel qui ne peuvent pas être attribuées à une 
personne concernée sans avoir recours à des informations supplémentaires, 
pour autant que de telles informations supplémentaires soient conservées 
séparément et soumises à des mesures techniques et organisationnelles afin de 
garantir cette non-attribution; 
• Conditions plus strictes pour le “consentement” ; 
• Conditions plus strictes pour le“profilage”.
10 lundis 
pour 
rattraper 
le train du 
digital 
44 
Merci pour votre attention 
Ann FROMONT: afr@koan.eu 
Jan DECORTE : jdc@koan.eu

Contenu connexe

Tendances

Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
aclorrain
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
aclorrain
 

Tendances (20)

Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...Données de santé & RGPD  (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
La législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataLa législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open Data
 
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
CELSA cours Anne-Catherine LORRAIN 21 janvier 2008
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Décision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause datingDécision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause dating
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
 
Rgpd
RgpdRgpd
Rgpd
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 

Similaire à Bmma privacy legal aspects

Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnel
Allaeddine Makhlouk
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine Poidevin
Association Bibop
 

Similaire à Bmma privacy legal aspects (20)

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Risques numériques et responsabilités
Risques numériques et responsabilitésRisques numériques et responsabilités
Risques numériques et responsabilités
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et liberté
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
earlegal #8 - Caméra - Comment concilier RGPD, loi caméra, droit à l'image et...
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données  à caractère personnel  au sein des a...earlegal #4 - La protection des données  à caractère personnel  au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
Données perso
Données persoDonnées perso
Données perso
 
Droit tic au maroc
Droit tic au marocDroit tic au maroc
Droit tic au maroc
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnel
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine Poidevin
 

Plus de BMMA - Belgian Management and Marketing Association

Plus de BMMA - Belgian Management and Marketing Association (20)

Brochure emdmc
Brochure emdmcBrochure emdmc
Brochure emdmc
 
Bmma digit 2014 patrick willemarck
Bmma digit 2014 patrick willemarckBmma digit 2014 patrick willemarck
Bmma digit 2014 patrick willemarck
 
2014 11 24 big data bmm aformationdigitale2014 v print guy huyberechts
2014 11 24 big data bmm aformationdigitale2014 v print guy huyberechts2014 11 24 big data bmm aformationdigitale2014 v print guy huyberechts
2014 11 24 big data bmm aformationdigitale2014 v print guy huyberechts
 
Bmm aformationdigitale2014 ep.pptx
Bmm aformationdigitale2014 ep.pptxBmm aformationdigitale2014 ep.pptx
Bmm aformationdigitale2014 ep.pptx
 
Bmm awrapup5 2014v2
Bmm awrapup5 2014v2Bmm awrapup5 2014v2
Bmm awrapup5 2014v2
 
Bmm awrapup4 2014v2
Bmm awrapup4 2014v2Bmm awrapup4 2014v2
Bmm awrapup4 2014v2
 
Bruno Van Boucq Solomo
Bruno Van Boucq SolomoBruno Van Boucq Solomo
Bruno Van Boucq Solomo
 
Bmm aformationdigitale2014 search
Bmm aformationdigitale2014 searchBmm aformationdigitale2014 search
Bmm aformationdigitale2014 search
 
Bmm aformationdigitale2014
Bmm aformationdigitale2014Bmm aformationdigitale2014
Bmm aformationdigitale2014
 
Bmm awrapup3 2014v2
Bmm awrapup3 2014v2Bmm awrapup3 2014v2
Bmm awrapup3 2014v2
 
Bmma october2014 johannes schnack
Bmma october2014 johannes schnackBmma october2014 johannes schnack
Bmma october2014 johannes schnack
 
Bmma digital train - matthieu vercruysse - 290914 vfor participants
Bmma   digital train - matthieu vercruysse - 290914 vfor participantsBmma   digital train - matthieu vercruysse - 290914 vfor participants
Bmma digital train - matthieu vercruysse - 290914 vfor participants
 
Bmma digital-egerie-2014 22 septembre
Bmma digital-egerie-2014 22 septembreBmma digital-egerie-2014 22 septembre
Bmma digital-egerie-2014 22 septembre
 
Bmma awrapup1 2014 Hugues Rey
Bmma awrapup1 2014 Hugues ReyBmma awrapup1 2014 Hugues Rey
Bmma awrapup1 2014 Hugues Rey
 
Bmma hugues rey formationdigitale2014 session 1 - version 15092014short
Bmma hugues rey formationdigitale2014   session 1 - version 15092014shortBmma hugues rey formationdigitale2014   session 1 - version 15092014short
Bmma hugues rey formationdigitale2014 session 1 - version 15092014short
 
Presentation bmma the voice case study
Presentation bmma    the voice case studyPresentation bmma    the voice case study
Presentation bmma the voice case study
 
2013.03.05 slide show bmma 2013 do's don'ts in de digitale wereld
2013.03.05 slide show bmma 2013  do's  don'ts in de digitale wereld2013.03.05 slide show bmma 2013  do's  don'ts in de digitale wereld
2013.03.05 slide show bmma 2013 do's don'ts in de digitale wereld
 
Patrick willemarck soc business bmma digit 2013
Patrick willemarck soc business bmma digit 2013Patrick willemarck soc business bmma digit 2013
Patrick willemarck soc business bmma digit 2013
 
Bmma session adr2013 rv2
Bmma session adr2013 rv2Bmma session adr2013 rv2
Bmma session adr2013 rv2
 
Bmma session adr2013 benoit
Bmma session adr2013 benoitBmma session adr2013 benoit
Bmma session adr2013 benoit
 

Bmma privacy legal aspects

  • 1. 10 lundis pour rattraper le train du digital Legal aspects related to privacy Jan Decorte & Ann Fromont
  • 2. 10 lundis pour rattraper le train du digital Le marketing digital : un secteur en pleine expansion • Deux grands segments : • “Search marketing” : visibilité d’un site web sur les moteurs de recherche ; • “Display marketing” : affichage d’un contenu publicitaire sur un site de contenu éditorial (bannière, vidéo, etc.) • Mais aussi : • Email marketing • Viral marketing • Social marketing • Affiliate marketing • Automated trading and real-time bidding • Etc.
  • 3. 10 lundis pour rattraper le train du digital 1. Introduction générale sur la loi « Vie Privée » 2. Les risques et sanctions en cas de non-respect de la loi « Vie Privée » 3. Examen de quelques pratiques spécifiques 3 Les aspects légaux
  • 4. 10 lundis pour rattraper le train du digital 4 1. Introduction générale sur la loi « Vie Privée » A. Principes et concepts généraux B. Bases légales (et limites)
  • 5. 10 lundis pour rattraper le train du digital A. Concepts généraux  Donnée personnelle : tout élément permettant d’identifier une personne physique, ou la rendant directement ou indirectement identifiable ;  Traitement : toute opération, automatisée ou non p.ex. la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel ;  Responsable du traitement : la personne qui détermine les moyens et les finalités d’un traitement ;  Sous-traitant : toute personne traitant des données à caractère personnel pour le compte du responsable du traitement ;  Destinataire : la personne qui reçoit les données (tiers ou non) ;  Tiers : toute personne autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données 5
  • 6. 10 lundis pour rattraper le train du digital 6 Données personnelles sensibles Données personnelles Données pseudonymes Données anonymes 6 Différents types de données personal data relating to race or ethnic origin, political opinions, religion or philosophical beliefs, sexual orientation or gender identity, trade-union membership and activities, genetic or biometric data, health or sex life, administrative sanctions, judgments, criminal or suspected offences, convictions, or related security measures any information relating to an identified or identifiable natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution data which are neither personal data, nor pseudonymous data
  • 7. 10 lundis pour rattraper le train du digital A. Principes généraux  Principes de légalité  Le traitement doit reposer sur une base légale  Principe de finalité  But spécifique, adéquat et légitime  Principe de proportionnalité  Données adéquates, pertinentes et non excessives  Données exactes et à jour  Durée de conservation raisonnable  Sécurité et confidentialité  Protection de l’accès aux données (serveurs sécurisés, mots de passe, etc.)  Engagements de confidentialité  Déclaration auprès de la Commission Vie Privée  Sauf exemptions (A.R. 13/02/2001) 7
  • 8. 10 lundis pour rattraper le train du digital A. Principes et concepts généraux Champ d’application 1. Matériel : Article 3 Loi 12/08/1992  Application : Traitement automatisé en tout ou en partie ; Traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (ensemble structuré).  Exclusion : Traitement effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.  Modalisation : Traitement à des fins journalistiques / artistiques / littéraires. 8
  • 9. 10 lundis pour rattraper le train du digital A. Principes et concepts généraux Champ d’application 2. Territorial : Article 3 bis Loi 12/08/1992 « 1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit international public; 2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge. Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même. » 9
  • 10. 10 lundis pour rattraper le train du digital B. Bases légales (et limites) La finalité doit être spécifique et autorisée par la loi 6 cas de figure :  Consentement ;  Nécessaire pour l’exécution d’un contrat ;  Obligation légale ;  Protection de l’intérêt vital ;  Nécessaire à l’accomplissement de missions d’intérêt public ou à l’exercice de l’autorité publique ;  Nécessaire à la poursuite d’intérêts légitimes du responsable du traitement, à condition que les intérêts de la personne concernée ne prévalent pas (balance équitable). 10
  • 11. 10 lundis pour rattraper le train du digital Consentement ?  Libre: réelle liberté de choix ;  Spécifique: la portée exacte du consentement donné doit être connue ;  Informé: de toutes les informations nécessaires pour évaluer exactement les conséquences du consentement.  En pratique: Privacy Policy / Politique de confidentialité / Charte Vie Privée 11 B. Bases légales (et limites)
  • 12. 10 lundis pour rattraper le train du digital 12 2. Les risques et sanctions en cas de non-respect de la Loi Vie Privée A. Sanctions pénales B. Sanctions administratives  La réalité de la Commission Vie Privée  Le projet de règlement européen C. Sanctions civiles
  • 13. 10 lundis pour rattraper le train du digital A. Sanctions pénales • Articles 38-42 Loi Vie Privée  Pas de pouvoir direct de sanction de la Commission Vie Privée  Peut transmettre le dossier au Procureur du Roi • Sanctions concrètes  Emprisonnement de 3 mois à 2 ans  Amendes de 100 à 100.000 EUR  Publicité du jugement  Confiscation du matériel 13
  • 14. 10 lundis pour rattraper le train du digital Organisme faisant autorité ou simple référence ?  Créée 1992 / Organe de contrôle indépendant / 16 membres / Comités sectoriels  Missions :  Consultation sur toute question liée à la protection de la vie privée  Information et assistance  Contrôle et inspection  Gestion des plaintes  En pratique: - Médiation ; - Avis sur le caractère fondé d’une plainte ; - Influence dans le cadre d’une procédure pénale / civile. 14 B. Sanctions administratives La réalité la Commission Vie Privée
  • 15. 10 lundis pour rattraper le train du digital European wind of change ?  Voué à remplacer la Directive 95/46/CE  vers une plus grande homogénéité  Quelques modifications importantes:  Extra-territorialité  One-stop-shop  Data protection officer (> 5000 personnes concernées)  European Data protection Board / Comité européen de la protection des données  Sanctions (!): Amendes jusqu’à 100.000.000 € ou 5% du chiffre d’affaires mondial.  Notification violation dans les 72 heures  Timing: adoption PE 1ère lecture 11/03/2014 - best case scenario: fin 2015 (?) 15 B. Sanctions administratives Le projet de règlement européen
  • 16. 10 lundis pour rattraper le train du digital C. Sanctions civiles  Action en cessation devant le Président du TPI : Article 14 L 08/12/1992  Exemple pratique : marketing viral Cour d’appel de Liège, 19 novembre 2009 : confirme ordonnance de cessation avec astreinte de 10.000€ par infraction constatée (TPI Huy)  Responsabilité contractuelle ou extracontractuelle : Article 15 L 08/12/1992 « Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. »  Obstacle : quel est le dommage subi ?  Exemples pratiques :  Atteinte à l’honneur et à la réputation ;  Détournement d’informations bancaires ;  Collecte illicite de données et dommage causé par un tiers destinataire ;  …  ! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droit économique) E.V. : 1er septembre 2014 16
  • 17. 10 lundis pour rattraper le train du digital C. Sanctions civiles ! NEW ! Action en réparation collective (Titre 2, Livre XVII du Code de droit économique) E.V. : 1er septembre 2014  QUI ? (Art. XVII.38 et 39) Un groupe de consommateur lésés, à titre individuel, par un intérêt commun, représenté par : ‐ une association de défense des consommateurs (P.J., siégeant au Conseil de la Consommation ou agréée par le ministre sur base des critères à déterminer par A.R.) ; ‐ une asbl agréée par le ministre (P.J. depuis au moins 3 ans), dont l'objet social est en relation directe avec le préjudice collectif subi ; ‐ le Service de Médiation pour le consommateur, uniquement en vue de représenter le groupe dans la phase de négociation d'un accord de réparation collective.  OÙ et COMMENT ? (Art. XVII.35 et 43) : requête au TPI ou Trib. Comm. de Bruxelles  PROCEDURE ? ‐ Phase de négociation : dans un délai de 1 à 3 mois ; ‐ Phase de décision sur le fond : le cas échéant, montant à répartir entre les personnes lésées. 17
  • 18. 10 lundis pour rattraper le train du digital 18 3. Examen de quelques pratiques spécifiques A. Cas simples B. Pratiques sensibles  Email marketing  Viral marketing  Online behavioural advertising  Big Data  …
  • 19. 10 lundis pour rattraper le train du digital Politique de confidentialité Les bonnes questions à se poser :  Y’a-t-il un traitement de données personnelles ?  Dans quel but ce traitement est-il effectué ?  Faut-il demander le consentement ?  Les données seront-elles conservées ?  Les données seront-elles transmises à un tiers ?  Les données seront-elles transférées dans un pays tiers ? 19 A. Cas simples Sites purement informatifs ou sites d’e-commerce
  • 20. 10 lundis pour rattraper le train du digital Politique de confidentialité Informations à fournir :  Nom et adresse du responsable  Finalités du traitement  Droits de la personne concernée : accès, rectification, opposition  Destinataires des données  Réponse obligatoire ou non 20 A. Cas simples Sites purement informatifs ou sites d’e-commerce
  • 21. 10 lundis pour rattraper le train du digital 21 A. Cas simples Sites purement informatifs ou sites d’e-commerce
  • 22. 10 lundis pour rattraper le train du digital  Consentement préalable, libre, spécifique et informé = « opt-in »  Sauf en cas d’opposition manifeste = « opt-out » : • Personnes morales (adresse impersonnelle) : info@..., helpdesk@..., contact@..., etc. • Clients existants pour produits / services analogues  La publicité doit être clairement identifiable comme telle et mentionner : • la personne physique ou morale pour le compte de laquelle elle est faite ; • le droit de s’opposer, pour l’avenir, à recevoir des publicités ; • le moyen d’exercer efficacement ce droit par voie électronique. 22 B. Pratiques sensibles Email marketing
  • 23. 10 lundis pour rattraper le train du digital Qu’est-ce que le marketing viral ? « Le but premier de l’annonceur consiste toujours in fine à promouvoir la vente d’un produit ou d’un service, même si en pratique, le caractère publicitaire du message ou la marque n’apparaissent pas toujours dès le début de la campagne. » http://economie.fgov.be « Inciter une personne à communiquer des données à caractère personnel d'amis ou de connaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnel ainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parce que les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pas non plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propres données à caractère personnel. » http://www.privacycommission.be 23 B. Pratiques sensibles Viral marketing
  • 24. 10 lundis pour rattraper le train du digital Qu’est-ce que le marketing viral ? Pas de définition légale Pose 3 questions principales :  Faut-il indiquer la mention « publicité » ?  La marque est clairement visible sur le support ? - Caractère publicitaire manifeste  Teasing ? - Caractère publicitaire ambigu  Faut-il indiquer les coordonnées du vendeur ? L’information doit être aisément disponible : lien vers site web = OK  Qui traite les données ? 24 B. Pratiques sensibles Viral marketing
  • 25. 10 lundis pour rattraper le train du digital Le marketing viral est-il légal ? Trois types de marketing viral : 1. Outil de collecte d'adresses électroniques 2. Simple incitation à transmettre un message 3. Application permettant de transmettre plus facilement un message à des contacts (« amis ») 25 B. Pratiques sensibles Viral marketing
  • 26. 10 lundis pour rattraper le train du digital Le marketing viral est-il légal ? 1er cas: Outil de collecte d'adresses électroniques – Attention! L’annonceur réalise trois opérations :  collecte des adresses e-mail chez ses clients/prospects  envoie un message (texte ou vidéo) aux amis de son client  enregistre les adresses e-mails La collecte et l’enregistrement d’adresses e-mail est un traitement de données à caractère personnel : – Déclaration du traitement auprès de la CPVP – Les finalités doivent être légitimes – Information de la personne concernée – Droit d’accès et de rectification Envoi d’e-mails : lorsque l’annonceur envoie un message publicitaire aux amis de ses clients, il s’agit d’un courrier électronique non sollicité (spam) : opt-in 26 B. Pratiques sensibles Viral marketing
  • 27. 10 lundis pour rattraper le train du digital Le marketing viral est-il légal ? 2ème cas : Simple incitation à transmettre un message – OK ! Le consommateur est encouragé à transmettre un message, un lien, une vidéo à ses amis par les moyens qu’il choisit lui-même: – Réseaux sociaux (Netlog, Facebook, Twitter, Myspace, …) – Courrier électronique – Blogs personnels – Messageries instantanées – Transmission hors ligne Différents types de campagne : – Sites Internet dédiés à une campagne – Partage d’économiseurs d’écran – Films sur Youtube ou Dailymotion – Jeux promotionnels – Groupes sur des réseaux sociaux 27 B. Pratiques sensibles Viral marketing
  • 28. 10 lundis pour rattraper le train du digital Le marketing viral est-il légal ? 3ème cas : Application permettant de transmettre plus facilement un message à des contacts – Cas limite – Possibilité de limiter les risques d’illégalité : l’annonceur n’envoie pas de message, c’est le consommateur qui le fait avec l’aide de l’annonceur ; – L’annonceur offre un outil technique pour transmettre un message ; – L’annonceur ne collecte pas les données (pas d’enregistrement) Selon la Commission Vie Privée, les actions de marketing viral sont illégales au regard de la loi « Vie privée » au motif qu’elles « semblent pas bénéficier de suffisamment de légitimité à la lumière de la LVP » Mais : – S’agit-il d’un traitement de données à caractère personnel? – L’annonceur est-il le responsable du traitement? 28 B. Pratiques sensibles Viral marketing
  • 29. 10 lundis pour rattraper le train du digital B. Pratiques sensibles Online behavioural advertising • Attrait du digital : payer moins pour une audience plus pertinente • Publicité contextuelle : liée au contenu de la page web Ex. : AdSense (Google) • Publicité comportementale : liée au comportement de l’utilisateur Ex. : DoubleClick (Google), Beacon (Facebook), etc.
  • 30. 10 lundis pour rattraper le train du digital Qu’est-ce que la publicité comportementale ?  Publicité comportementale simple :  Collecte directe et visible (formulaires) ;  Collecte directe et invisible (comportement).  Publicité comportementale de réseau :  Collecte indirecte et invisible par le biais du réseau publicitaire (comportement à travers les sites). Un nouvel intermédiaire est né : le fournisseur de réseau publicitaire 30 B. Pratiques sensibles Online behavioural advertising
  • 31. 10 lundis pour rattraper le train du digital 31 Consommateur http://SF-hotel-review.com http://dogsblogs.com http://social-network.net Pub: Hotel Supersite Pub: Hotel Supersite Cookie ID = 12345 Cookie ID = 12345 Cookie ID = 12345 Cookie ID = 12345 visite Social Network Cookie ID = 12345 visite SFHotels Cookie ID = 12345 visite Dogsblogs Fournisseur de réseau de publicités
  • 32. 10 lundis pour rattraper le train du digital 32 B. Pratiques sensibles Online behavioural advertising A partir de quand identifie-t-on une personne physique ? un appareil = une personne physique ? Exemples : - Utilisateur enregistré sur un site web (e-commerce) ; - Recoupement de données entre sites ; - Informations disponibles auprès des FAIs.
  • 33. 10 lundis pour rattraper le train du digital 33 Consommateur Jean Dupont Bruxelles (BE) http://www.dogzblogs.com Jean Dupont Bruxelles (BE) visite DogsBlogs Fournisseur de réseau de publicités Cookie ID = 12345
  • 34. 10 lundis pour rattraper le train du digital 34 B. Pratiques sensibles Online behavioural advertising En présence de données à caractère personnel : application du régime général prévu par la loi du 8 décembre 1992 sur le traitement des données personnelles Les bons réflexes :  Dans quel but ce traitement est-il effectué ?  Faut-il demander le consentement ?  Quelle information faut-il donner et quand ?  Combien de temps les données seront-elles conservées ?  A qui les données seront-elles transmises ? (catégories de destinataires)  Les données seront-elles transférées vers un pays tiers à l’UE ? (si oui: conditions !)  Faut-il déclarer le traitement ?
  • 35. 10 lundis pour rattraper le train du digital 35 B. Pratiques sensibles Online behavioural advertising Même en l’absence de données à caractère personnel : application de l’art. 129 de la loi du 13 juin 2005 sur les communications électroniques (cookies) En cas de dépôt et lecture d’informations sur un équipement terminal : - quelle que soit la technologie empruntée (cookies http, cookies flash, pixels invisibles, etc.) ; - quel que soit le moment (consultation site web, emails, etc.) ; - quel que soit le terminal concerné (ordinateur, tablette, smartphone, TV connectée, console de jeux, etc.).
  • 36. 10 lundis pour rattraper le train du digital 36 B. Pratiques sensibles Online behavioural advertising Article 129 L. 13 juin 2005: le principe « Le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que : 1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992 ; 2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément aux dispositions visées au point 1. »
  • 37. 10 lundis pour rattraper le train du digital 37 B. Pratiques sensibles Online behavioural advertising Article 129 Loi du 13 juin 2005 : les exceptions « L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final  ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou ;  de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet. »
  • 38. 10 lundis pour rattraper le train du digital 38 B. Pratiques sensibles Online behavioural advertising Avis 4/2012 du Groupe 29 : typologie des cookies  Cookies « intrusifs » : consentement explicite requis • les cookies de modules sociaux de pistage ; • les cookies publicitaires de tiers ; • les cookies analytiques d’origine ; • …  Cookies « non-intrusifs » : consentement explicite n’est pas requis • les cookies alimentés par l’Internaute (p.ex. panier d’achat) ; • les cookies d’authentification ; • les cookies de sécurité centrés sur l’Internaute ; • les cookies de personnalisation de l’interface utilisateur (p.ex. préférences linguistiques) ; • les cookies de modules sociaux de partage de contenu ; • ...
  • 39. 10 lundis pour rattraper le train du digital 39 Exemples
  • 40. 10 lundis pour rattraper le train du digital 40 B) Utiliser les cookies en toute légalité
  • 41. 10 lundis pour rattraper le train du digital 41 B. Pratiques sensibles Online behavioural advertising  Présence d’une bannière informant sur : • Les finalités : « afin de vous offrir une meilleure expérience de navigation » • Les moyens de s’opposer : « voir notre Politique de Cookie » • Le dépôt de cookies en cas de poursuite de la navigation : o « J’accepte tous les cookies pour les sites de Rezidor Hotels » (précoché) o « Je suis conscient que certains cookies sont requis pour l’utilisation des sites de Rezidor Hotels, mais je n’accepte pas les cookies qui collectent des informations au-delà de cette portée » (à cocher)  Présence d’une Politique de confidentialité : • indiquant comment activer / désactiver les cookies ; • en danois uniquement !
  • 42. 10 lundis pour rattraper le train du digital 42 www.youronlinechoices.com (OBA Framework)
  • 43. 10 lundis pour rattraper le train du digital 43 B. Pratiques sensibles Online behavioural advertising Quelles sont les modifications essentielles à venir ? • Un nouveau concept : les “données pseudonymes” = des données à caractère personnel qui ne peuvent pas être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution; • Conditions plus strictes pour le “consentement” ; • Conditions plus strictes pour le“profilage”.
  • 44. 10 lundis pour rattraper le train du digital 44 Merci pour votre attention Ann FROMONT: afr@koan.eu Jan DECORTE : jdc@koan.eu