Application du Règlement général européen sur la protection des données (RGPD) : les bases légales pour la collecte des données personnelles

Par Guillaume Marcerou, Global Privacy Director chez Criteo

Le Règlement Général Européen sur la Protection des Données (RGPD) prendra effet le 25 mai 2018. D’ici là, l’une des questions les plus débattues au sein de l’industrie du marketing digital concerne les technologies de suivi publicitaire telles que les cookies ou les identifiant publicitaires mobiles (Mobile Advertising IDs), désormais considérées comme étant des données personnelles.

Outre-Atlantique, la nouvelle est accueillie avec surprise et – semble-t-il – un peu d’appréhension. En Europe et en France en particulier, ce principe s’inscrit dans la continuité de ce qui est déjà la doctrine des autorités. Seul changement majeur apporté par le RGPD : désormais, tous les États membres de l’Union européenne composeront avec les même règles et les cookies et autres identifiants techniques y seront considérés comme des données personnelles.

Pour savoir comment le RGPD définit les notions de consentement et de données personnelles, cliquez ici.

Qu’est-ce que cela signifie et comment cela s’applique-t-il à votre entreprise ?

Le RGPD prévoit six bases légales distinctes pour collecter et traiter des données personnelles. Ainsi, quelles que soient les données personnelles concernées, leur collecte doit être fondée sur l’une des bases légales suivantes:

1. L’intérêt vital de la personne
2. L’intérêt public
3. La nécessité contractuelle
4. Le respect d’obligations légales
5. Le consentement non-ambigu de la personne
6. L’intérêt légitime du responsable de traitement

Il est important de noter que ces six principes ont une valeur juridique équivalente et ne sont pas cumulatives, c’est-à-dire qu’une seule suffit à justifier un traitement. Pour les entreprises dans le domaine du marketing ou du marketing digital, ou pour celles qui recueillent des données pour une finalité de marketing, les bases légales les plus pertinentes semblent être : (1) le consentement non-ambigu de la personne et (2) l’intérêt légitime du responsable de traitement.

Quelle base légale pour la collecte d’identifiants techniques (cookies, identifiants publicitaires mobiles, etc…) à des fins de publicité personnalisée ?

Chez Criteo, nous recommandons à nos clients et à partenaires de recueillir le consentement non-ambigu des personnes pour recourir à des services de publicité personnalisée en ligne. 

Que signifie l’expression « obtenir le consentement non-ambigu de la personne » ? Comment cela s’applique-t-il à la collecte d’identifiants techniques tels que les cookies ?

Tout d’abord, il convient de faire la distinction entre le consentement non-ambigu et le consentement explicite. Le consentement explicite implique un choix exprès de la part de l’utilisateur. Ceci s’applique aux données personnelles sensibles telles que la race, la religion, l’orientation sexuelle, l’affiliation politique et la santé. Pour les identifiants techniques (par exemple, les cookies) et technologies de suivi qui ne collectent pas de données personnelles sensibles, seule une action positive de l’utilisateur est requise.

Nous pensons que sur la question du consentement non-ambigu, l’application du règlement s’alignera sur la position actuelle des autorités locales de protection des données (Data Protection Authorities, ou DPA). Par exemple, l’autorité de protection des données en Espagne[1], l’un des pays européens les plus protecteurs, a récemment publié un guide du RGPD, dans lequel il est expressément mentionné que le consentement pouvait être considéré comme non-ambigu lorsqu’il était déduit d’une action positive de l’utilisateur. L’autorité espagnole cite ainsi l’exemple d’un utilisateur continuant de naviguer sur un site après avoir été informé de l’utilisation de cookies pour suivre sa navigation.

Les clients et éditeurs partenaires de Criteo ne collectent pas de données sensibles pour les besoins de nos services, qui se basent uniquement sur des identifiants techniques pseudonymes associées à des intentions et historiques d’achats sur les sites de nos clients.

(Pour en savoir plus sur le type de données que Criteo recueille et sur la façon dont le RGPD influe sur nos méthodes.)

Les critères requis par Le RGPD pour définir un consentement non-ambigu valide sont très similaires, sinon identiques, aux critères déjà détaillés par le Groupe de Travail de l’Article 29 (G29) dans un précédent rapport :

• Informations spécifiques : « Pour être valable, le consentement doit être spécifique et fondé sur des informations appropriées. En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable.. »
• Moment où le consentement est donné. « De manière générale, le consentement doit être exprimé avant le début du traitement. » Choix actif. « Le consentement doit être indubitable. Dès lors, la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée. En principe, il n’existe pas de limitations quant à la forme que peut revêtir un consentement. Toutefois, pour être valable, le consentement doit consister en une manifestation active de la volonté de l’utilisateur. L’expression minimale d’une manifestation de volonté pourrait être tout type de signe, suffisamment clair pour permettre d’exprimer la volonté d’une personne concernée et être compris par le responsable du traitement. » Libre manifestation de volonté. « Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement. »

Comment s’applique « l’intérêt légitime du gestionnaire de données » ?

Afin que le traitement des données soit considéré comme dans l’intérêt légitime, les utilisateurs doivent s’attendre raisonnablement à ce qu’un tel traitement soit réalisé avec leurs données. Un traitement de données à des fins de marketing direct pourrait être considéré ni réalisé comme entrant dans le champ de l’intérêt légitime. Cependant, cet intérêt légitime ne doit pas outrepasser les droits fondamentaux à la vie privée des utilisateurs et des mesures de sécurité appropriées doivent être mises en œuvre afin de réduire les risques potentiels pour la vie privée des utilisateurs. En tout état de cause, les principes de base d’information et de transparence vis-à-vis des utilisateurs doivent être respectés:

• Une explication complète sur la nature des données collectées, la finalité précise de cette collecte, ainsi que la façon dont cela impactera l’expérience de navigation pour l’utilisateur.
  • Par exemple : « Notre [site/application] utilise des cookies/des identifiants publicitaires à des fins de publicité personnalisée. Ces technologies de ciblage publicitaire nous permettent de servir des publicités aux internautes intéressés par nos produits sur des sites web et applications partenaires en fonction de leur navigation sur notre [site/application]. Pour en savoir plus et/ou vous opposer à ces services, merci de vous référer à la politique de confidentialité listée ci-dessous. »
    • [Ajouter le lien à la politique de confidentialité de votre partenaire.

• Un moyen pour les utilisateurs de contrôler leur expérience, notamment de pouvoir se désinscrire ; un moyen simple à utiliser et aisément accessible, avec des explications concernant la façon dont cela affectera l’expérience de l’utilisateur.
• Un accès simple à la politique de confidentialité, ainsi qu’aux informations sur les normes de protection de la vie privée auxquelles sont soumises les entreprises du secteur ou sur les engagements pris par votre entreprise.
  • Par exemple : Criteo est membre de la Network Advertising Initiative.

Quels sont les critères pour établir un intérêt légitime ?

Voici certaines questions clés auxquelles chaque entreprise doit être capable de répondre et qu’elle doit document avant de se fonder sur l’intérêt légitime :

• À quelle fin les données sont-elles recueillies ?
• La collecte est-elle nécessaire afin de répondre à un ou plusieurs objectifs spécifiques de l’entreprise ?
• Le RGPD ou d’autres lois nationales identifient-ils spécifiquement la finalité du traitement comme étant une activité légitime, sous réserve de la réalisation d’une analyse d’impact sur la vie privée des individus et d’un résultat positif ?
• Existe-t-il un autre moyen de réaliser cette finalité ?
• La personne s’attend-elle à ce que ce traitement ait lieu ?
• Quelle est la nature des données à traiter ? Est-ce que la nature de ces données bénéficie d’une protection spéciale dans le cadre du RGPD ?
• Ce traitement limiterait-il ou fragiliserait-il les droits des individus ?
• Une information claire est-elle délivrée à la personne ? Si oui, comment ? Est-elle suffisamment compréhensible et claire quant aux objectifs du traitement ?

Pour les entreprises dans le secteur du marketing digital mettant régulièrement à jour leurs pratiques afin de se conformer au RGPD, il est important de se souvenir que les citoyens européens sont au fait du ciblage publicitaire, qu’ils comprennent globalement les technologies de type cookies sur laquelle celui-ci repose et qu’ils attendent de voir des publicités pertinentes. Criteo s’est associé à IPSOS et lors d’une enquête sur le terrain menée auprès de consommateurs européens afin de comprendre leurs attentes et leur ressenti vis-à-vis des annonces publicitaires ciblées en ligne. Trois mille internautes (de 16 à 65 ans) ont été interrogés, en France, au Royaume-Uni et en Espagne, échantillon garantissant la représentativité démographique (sexe, âge, région et niveau de revenus). Plus spécifiquement, les résultats ont été les suivants :

• 90 % des internautes connaissent les principes du ciblage comportemental.
• 68 % savent que les cookies permettent de cibler une publicité
• 75 % s’attendent à voir des publicités correspondant à leurs centres d’intérêt
• 73 % préféreraient voir des publicités pertinentes plutôt que de devoir payer des frais supplémentaires pour ne plus en avoir.

La mise en application du RGPD approchant, nous suivrons de près les directives et conseils publiés par les Autorités locales de protection des données. D’ici là, nous vous invitons à vous informer sur les actions mises en place par Criteo à des fins de conformité au RGPD et sur ce que vous devez savoir à propos des deux catégories de données personnelles mentionnées dans le RGPD.

[1] Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

[2] Le Groupe de Travail de l’Article 29 – Guide 2013 pour obtenir le consentement au regard des cookies : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf