Aujourd’hui, trouver l'équilibre entre la recherche d'opportunités business et la protection des données clients constitue un vrai défi. Avec les progrès technologiques, la multiplication des sources de données et les nombreuses possibilités de ciblage, il est primordial de respecter la vie privée des utilisateurs et d’assurer une protection adéquate des données. Mais avec une législation, des pratiques et des définitions en constante évolution (et qui varient d’un pays à l’autre), la tâche peut sembler quelque peu ardue.
Par où commencer ? Comment se mettre en conformité avec la législation protégeant les données ? Toutes les réponses dans ce webinar.
Rambler steigert dank at internets digitaler analyselösung seine click-throug...
Protection et confidentialité des données : comprendre l'essentiel
1. Digital Intelligence SolutionsDigital Intelligence Solutions
PROTECTION ET
CONFIDENTIALITÉ DES
DONNÉES
COMPRENDRE L’ESSENTIEL, DE LA MISE EN
CONFORMITÉ AUX QUESTIONS D’ÉTHIQUE
Aurélie Pols et Samia Abara, 7 juin 2016
2. Digital Intelligence Solutions
PROGRAMME
› Introduction
› La protection des données dans l'actualité
› Les bases de la protection des données
› Les frictions génératrices d'opportunités
› Un outil utile à votre entreprise
› FOCUS : Mise en conformité CNIL
› Q&R
4. Digital Intelligence Solutions
PROTECTION DES DONNÉES : VOTRE ÉQUIPE D‘EXPERTS
Samia Abara-Basly
Evangéliste Produit
AT Internet
Aurélie Pols
Experte internationale en
protection des données
Avec plus de 9 ans d’expérience en Digital
Analytics, Samia accompagne les grands
comptes AT Internet (Vente privée, Rue du
commerce, Carrefour, etc.) dans la collecte
et l’exploitation de leurs données. Elle est
aujourd'hui Evangéliste Produit pour
l'ensemble des solutions AT Internet.
Aurélie Pols élabore des bonnes pratiques en matière
de protection des données : elle documente les flux de
données afin de limiter les revers liés aux défaillances
de protection des données et minimise les risques
relatifs à l'augmentation continue des utilisations de
données tout en œuvrant pour leur qualité. Elle a
récemment rejoint la société leader DMP Krux Digital
Inc. en tant qu'avocate spécialisée dans la gouvernance
et la protection des données.
5. Digital Intelligence Solutions
AT INTERNET ET LA PROTECTION DES DONNÉES
› Elles foisonnent de toutes parts. Nos vies sont toujours plus numériques.
› Nous comprenons le besoin de convertir les données pertinentes en opportunités commerciales...
› ...mais nous sommes aussi conscients de la nécessité absolue de respecter la vie privée des utilisateurs.
› Un acteur indépendant avec des racines européennes Nous sommes intraitables en matière de protection
de la vie privée.
› Laissez-vous conseiller par un expert pour savoir comment envisager et aborder la protection des données.
LES DONNÉES FONT BATTRE LE CŒUR DE NOTRE ACTIVITÉ
6. Digital Intelligence SolutionsDigital Intelligence Solutions
Publicité digitale et ciblage
En matière de publicité, Internet dépasse la télévision
avec un incroyable budget annuel de 36,2 Mds€
Volume de DONNÉES
2,5quintillions de bytes de données
sont générés chaque jour
Consommateur connecté en permanence
3 appareils connectés par personne en
2014
9 h 53 m : temps moyen que les adultes
américains passent chaque jour devant des
écrans connectés
Sources : IAB (2016), IBM (2014), Statistica (E.-U., 2014), eMarketer (E.-U., 2015)
PROTECTION DES DONNÉES
LA NOUVELLE ÈRE
7. Digital Intelligence Solutions
Les révélations scandaleuses d'Edward Snowden
ont exacerbé le besoin de transparence et de
protection des données en matière de vie privée.
PROTECTION DES DONNÉES
LA NOUVELLE ÈRE
L'APD française (la CNIL)
recommande AT INTERNET
pour sa conformité aux
règlements sur les cookies
Digital Intelligence Solutions
8. Digital Intelligence Solutions
PROTECTION DES DONNÉES
LE PARADOXE
65 % des consommateurs doutent de
la sécurité de leurs données personnelles.
67 % sont prêts à partager des
données personnelles en échange de services
supplémentaires.
Source : Accenture
10. Digital Intelligence Solutions
EXEMPLES DE L'ACTUALITÉ MONDIALE DE LA PROTECTION DES
DONNÉESAVEC DES CONSÉQUENCES PLUS OU MOINS FORTES
› Vous souvenez-vous d'Ashley Madison et de la fuite des données ?
› Les données en cause sont jugées irrecevables par le tribunal. De qui se moque la justice ?
› Où en est la législation internationale en matière de protection des données ?
› Pensez-vous que l'ONU ait un rôle à jouer ?
› Estimez-vous qu'un examen devrait être considéré comme une donnée personnelle ?
› La Cour européenne de justice doit en décider, soulevant aussi la problématique de la propriété
des données...
› Pensez-vous que bloquer les AdBlockers est illégal, en vertu de la (2e révision) de la
directive vie privée et communications électroniques (ePrivacy) ?
› Apparemment, la Commission européenne le pense...
12. Digital Intelligence Solutions
RÈGLEMENTS PASSÉS ET À VENIR
EN MATIÈRE DE PROTECTION DES DONNÉES
LÉGISLATION EUROPÉENNE EN
PLACE
SafeHarbor
pour les transferts
internationaux de données
personnelles
Directive européenne sur la protection des
données (95/46/EC)
règlemente les données personnelles au sein
de l'UE
Directive européenne ePrivacy*
sur la vie privée et les communications
électroniques – au menu, les cookies !
* (2006/24/EC et 2009/136/EC modifiant la directive
2002/58/EC)
FUTURE LÉGISLATION
EUROPÉENNE
PrivacyShield
suffisamment efficace ?
Le règlement général européen sur
la protection des données (RGPD)
renforce et unifie la protection des données
des citoyens européens
Révision de la directive vie privée et
communications électroniques
(ePrivacy) Réglementation ?
Confidentialité de toutes les communications
(Skype, WhatsApp, …) + renforcement des
règles de consentement ?
25 mai 2018
14. Digital Intelligence Solutions
LES ACTEURS DE LA PROTECTION DES DONNÉES
QUELLE EST VOTRE PLACE DANS L'ÉCOSYSTÈME DES DONNÉES ? QUEL EST VOTRE RÔLE ?
ÉCOSYSTÈM
E
DES
DONNÉES
Citoyens
Consommateurs
Électeurs
Les
autorités
légifèrent et
font
respecter la
loi
Sociétés
Entreprises
15. Digital Intelligence Solutions
PRINCIPES FONDAMENTAUX DE LA PROTECTION DES
DONNÉESÉ-Q-U-I-L-I-B-R-E : IMBRICATION CONTRACTUELLE ET FONCTIONNELLE DES RESPONSABILITÉS
› Si la solution est simple et juste, pourquoi ne pas l'adopter ?
› Tous les autres suivront…
16. Digital Intelligence Solutions
PRÉVENIR D'ÉVENTUELS PRÉJUDICES
› Législation relative au cyberstalking (cyber-harcèlement)
› Tous les états ne sont pas logés à la même enseigne, comme pour le RGPD
› Législation relative au cyberbullying (cyber-intimidation)
› Éducation ? Responsabilité parentale
› Responsabilités relatives à la protection et à la sécurité des données pour éviter l'usurpation d'identité
› Discrimination dans le ciblage comportemental
“ Les associations antichoix ont recours à la surveillance des smartphones pour cibler les femmes qui envisagent l'avortement
pendant leurs visites médicales ”
› Uber et non-employés => économies
› Plateformes : capital vs. emploi
COMMENT L'UTILISATION DES DONNÉES PEUT INFLUENCER LA VIE PRIVÉE DES PERSONNES
17. Digital Intelligence SolutionsDigital Intelligence Solutions
LES DONNÉES TRANSFORMENT
PROFONDÉMENT NOS VIES
LA PRÉSERVATION DE LA DIGNITÉ HUMAINE EST EN JEU
18. Digital Intelligence Solutions
LES FRICTIONS GÉNÉRATRICES
D'OPPORTUNITÉS
N'ESSAYEZ PAS DE DÉFINIR LES DONNÉES PERSONNELLES
IDENTIFIABLES (PII) NI LES DONNÉES PERSONNELLES
19. Digital Intelligence Solutions
LA LÉGISLATION SUR LA PROTECTION DE LA VIE PRIVÉE DANS LE
MONDELES DONNÉES PERSONNELLES IDENTIFIABLES (PII) AMÉRICAINES CONTRE LES DONNÉES
PERSONNELLES EUROPÉENNES
20. Digital Intelligence Solutions
TYPES DE DONNÉES ET LÉGISLATION : LES OBLIGATIONS
VARIENT
Règlement général de
protection des
données
(RGDP) – 25 mai 2018
21. Digital Intelligence Solutions
POINTS DE TENSION ENTRE LES PII (US) ET LES DONNÉES
PERSONNELLES (UE)
Données personnelles identifiables (PII) Données personnelles
1. Nom, tels que les noms complets, nom de jeune fille,
nom de jeune fille de la mère ou alias ;
2. Numéros d'identification personnels : n° de sécurité
sociale (INSEE), n° de passeport, n° de permis de
conduire, n° de compte et de carte de crédit.
3. Adresse : adresse postale ou électronique ;
4. Information matérielle : protocole internet (IP) ou
adresse physique (MAC) ;
5. Numéro de téléphone (portable, professionnel et
privé). Information identifiant des biens personnels
(n° d'immatriculation du véhicule ou n° de titre et
informations connexes).
“ Constitue une donnée à caractère personnel toute
information relative à une personne ou une
personne physique identifiable (“ personne
concernée ”) ; constitue une personne identifiable,
une personne qui peut être identifiée, directement
ou indirectement, notamment par référence à un
numéro d'identification ou à un ou plusieurs
éléments spécifiques qui sont propres à son identité
physique, psychique, économique, culturelle ou
sociale ”
Définition généralement utilisée par la majorité des États
américains Directive 95/46/CE, directive de protection des données
22. Digital Intelligence Solutions
LA DÉSIDENTIFICATION EST UN EXERCICE DE CONFORMITÉ
Extrait de Shades of Grey : Seeing the full spectrum of Practical Data De-Identification by Jules Polonetsky, Omer Tene et Kelsey Finch,
1er avril 2016, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757709
23. Digital Intelligence Solutions
L'IDENTIFICATION EST UNE QUESTION DE CONFIANCE
D’après le livre blanc Confidentialité et protection des données : comprendre les grands principes et garantir la conformité de vos
activités Digital Analytics par Aurélie Pols pour AT Internet, mai 2016
24. Digital Intelligence Solutions
ÉTHIQUE NUMÉRIQUE
› Au-delà de la conformité
› Approche stratifiée pour les sociétés
exploitant les données
› Promesse à vos clients : CONFIANCE
› Strict minimum : Conformité !
VALEUR / ÉTHIQUE
Respect des individus
Responsabilité sociale
des entreprises
RISQUES
Évitez les préjudices
Procédure
opérationnelle standard
CONFORMITÉ
Épargnez les
personnes !
Législation
ÉTHIQUE
PROCÉDURE
LÉGISLATION
25. Digital Intelligence Solutions
A L’ATTENTION DE VOTRE ÉQUIPE RESPONSABLE DES
DONNÉES
Je me souviendrai que les données ne représentent pas seulement des chiffres mais bien de réelles personnes physiques à qui mon travail pourrait faire du tort ;
Je traiterai les données permettant d'identifier des personnes avec la plus grande précaution, dans le respect de leur dignité, l'absence de discrimination et
l'application de bonnes pratiques de sécurité ;
Je ne ferai rien à des données personnelles que je puisse trouver inacceptable pour des données relatives à ma famille, à mes amis, aux êtres qui me sont chers
ou à moi-même ;
Je comprends que les données personnelles, les PII et les données sensibles dépendent de leur contexte et sont souvent difficiles à identifier. En cas
de doute, je demanderai de l'aide ou solliciterai mes supérieurs afin de prendre les mesures opportunes ;
Je comprends que les données à caractère personnel doivent transiter sans perdre leur finalité initiale (la raison de leur existence) ni leurs mécanismes de
consentement respectifs ;
a) Je n'utiliserai jamais de données sans connaître leur origine, leur finalité et leurs mécanismes de consentement (cf. Quién es la Última Principle) ;
b) Je ne vendrai jamais de données à caractère personnel sans consentement préalable ;
c) Si je vends des données consenties, elles seront associées à leur finalité. Il revient à l'acheteur de définir si les utilisations des données subséquentes sont
conformes.
Je comprends que le consentement puisse être révoqué et le droit à l'oubli (la suppression) puisse être revendiqué, démarche qu'il faudra respecter ;
J'adapterai les protocoles de sécurité en fonction du degré de sensibilité des données (personnelles et sensibles) ;
J'assurerai le suivi et la documentation des données utilisées afin de minimiser les risques encourus lors de leurs utilisations.
ÉTHIQUE DE L'ANALYSTE
26. Digital Intelligence SolutionsSolutions de Digital Intelligence
DE LA CONFORMITÉ
À L'UTILISATION ÉTHIQUE DES DONNÉES
LA SOLUTION : DÉPASSER LE STADE DE LA CONFORMITÉ
Éthique
Avantages de la protection des données
Risques
Conformité
29. Digital Intelligence Solutions
DIGITAL ANALYTICS ET PROTECTION DES DONNÉES
LES POINTS CRITIQUES
› Le Digital Analytics s’inscrit désormais dans un processus de Digital Intelligence car les décisions s'appuyant réellement sur les données ne peuvent être
prises que sur la base d'une synchronisation guidée et avisée de données collectées.
› Il est fondamental de garantir que ces données collectées sont "propres" pour qu'elles soient correctement exploitables en totale conformité juridique.
› Dénicher un partenaire Digital Analytics fiable capable de trouver le juste équilibre entre les risques juridiques et les opportunités commerciales liées
aux données peut s'avérer être un véritable défi.
› Les partenaires de cette transformation doivent...
› ÊTRE ENGAGÉS DANS LA PROTECTION DES DONNÉES en comprenant et en respectant les défis d'aujourd'hui mais aussi de demain en
matière de protection des données.
› GARANTIR L'ÉVOLUTIVITÉ nécessaire pour trouver de nouveaux moyens efficaces de collaborer avec leurs clients et de les servir.
› ÊTRE RÉACTIFS, FIABLES ET TRANSPARENTS.
› ÊTRE INDÉPENDANTS dans le sens où ces données ne devraient pas constituer la source de revenus du fournisseur.
› GARANTIR LA PROPRIÉTÉ DES DONNÉES AUX CLIENTS qui devraient toujours conserver le contrôle total de toutes les données collectées.
30. Digital Intelligence Solutions
AT INTERNET ET LA PROTECTION DES DONNÉES
› Les clients d'AT Internet profitent non seulement d'un support technique mais aussi d'un conseil spécialisé en matière de bonnes pratiques et de législation relatives à la
protection des données.
› CNIL / EXEMPTION POUR CERTAINS COOKIES
› En décembre 2013, la CNIL a publié une recommandation appelée la directive cookie.
› Suite à sa publication, AT Internet et la CNIL ont négocié un accord permettant à AT Internet de proposer une solution de mesure d'audience exemptée et disponible en
France depuis 2015.
› Un accord unique a été trouvé concernant l'exemption du consentement : les professionnels du marketing français sont dispensés d'obtenir le consentement des
utilisateurs lorsqu'ils recourent à la solution exemptée d'AT Internet.
› CERTIFICATION TÜV SAARLAND
› Cette célèbre organisation de certification indépendante a décerné sa certification TÜV à AT Internet GmbH (la filiale allemande d'AT Internet), reconnaissant que les
procédures de collecte et de traitement de données associées à la solution d'AT Internet respectent les normes de protection et de sécurité des données.
› DONNÉES HÉBERGÉES EN EUROPE
› Collecte et stockage dans ses propres serveurs en France.
UN MODÈLE DANS CE DOMAINE
32. Digital Intelligence Solutions
COMMENT SE METTRE EN CONFORMITÉ ?
RECOMMANDATION "COOKIES" DE LA CNIL
Deux solutions :
1. Utiliser un outil dispensé de consentement
2. Recueillir le consentement de l'internaute en cas d'utilisation d'outil non conforme
Source : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/
33. Digital Intelligence Solutions
1. EXEMPTION 2. HORS EXEMPTION
INFORMATION
& RECOURS
MESURE
Bandeau : Demande de consentement pour la mesure
d’audience.
Information des utilisateurs.
Opt out
Mesure et dépôt de cookie après consentement (scroll).
Information des utilisateurs.
Opt out
Mesure & dépôt de cookie dès la première page.
MISEENCONFORMITE
A NOTER – EXHAUSTIVITE DE LA MESURE
D’AUDIENCE SUR SITE
La solution de mesure exemptée offre une mesure exhaustive de la
volumétrie sur site :
- la mesure analytique s’effectue de la première à la dernière page
visitée sur l’ensemble des parcours des internautes sur le site.
- l’ensemble des analyses standards est accessible (Pages &
contenus, navigation, devices, conversions, etc.).
- La donnée analytique est accessible et exploitable au niveau
individuel (anonyme). Des segments et cohortes peuvent être
utilisés.
34. Digital Intelligence Solutions
1. EXEMPTION 2. HORS EXEMPTION
INFORMATION
& RECOURS
MESURE
Bandeau : Demande de consentement pour la mesure
d’audience.
Information des utilisateurs.
Opt out
Mesure et dépôt de cookie après consentement (scroll).
Durée du cookie 1st et 3rd : 13 mois.
IP : suppression après 6 mois.
Géolocalisation : échelle ville uniquement.
Durée de retention de la donnée détaillée: durée du contrat.
Portail : déduplication des visites sur plusieurs sites.
Information des utilisateurs.
Opt out
Mesure & dépôt de cookie dès la première page.
Durée du cookie 1st et 3rd : 13 mois.
IP : anonymisée et suppression après 6 mois.
Géolocalisation : échelle ville uniquement.
Durée de retention de la donnée détaillée : 13 mois.
Portail : déduplication des visites sur plusieurs sites.
Absence de mesure avec dépôt de cookie, hors site.
Recoupement avec des données externes proscrit.
Données GPS : proscrites.
MISEENCONFORMITE
35. Digital Intelligence Solutions
PROCESS
BENEFICIER DE L’EXEMPTION
Informer l’internaute de la présence de cookies de mesure d’audience.
Le message suivant peut être utilisé : « Afin de mieux vous servir et d’améliorer l’expérience utilisateur sur notre site, nous mesurons son audience grâce à une solution utilisant
la technologie des cookies. Les données collectées permettent de fournir uniquement des données statistiques anonymes de fréquentation (le nombre de pages vues, le nombre
de visites, leur fréquence de retour,...)».
Mettre en place l’option opt-out.
Respecter les consignes d’implémentation du marqueur AT Internet
pour ne pas collecter des données externes au site et des données personnelles autre que l’adresse IP. Ces consignes sont présentes dans la documentation en ligne relative
au marquage (guide de marquage).
Demander à AT Internet d’activer le paramétrage « exemption » anonymisation de l’adresse IP, durée de rétention des
données détaillées n’excédant pas 13 mois, désactivation des modules proscrits par l’exemption).
NB : Pour les clients existants disposant de l’option DataExplorer et en complément des éléments précédemment listés, un audit des données collectées jusqu’alors devra être
réalisé afin de déterminer les actions spécifiques à mettre en place et le temps nécessaire à ces dernières (ex: purge des données, correction du marquage).
38. Digital Intelligence Solutions
LIVRE BLANC SUR LA PROTECTION DES DONNÉES
› Confidentialité et protection des données : comprendre les
grands principes et garantir la conformité de vos activités
Digital Analytics par Aurélie Pols pour AT Internet, Mai 2016
Dans ce livre blanc :
› Un process en 5 étapes pour limiter les risques liés aux
données
› Les bonnes pratiques pour respecter les grands principes de
protection des données
› Une checklist pour minimiser le risque des données de vos
outils digitaux
› Le glossaire de la Protection des données