Digital Intelligence SolutionsDigital Intelligence Solutions
PROTECTION ET CONFIDENTIALITÉ DES DONNÉESCOMPRENDRE L’ESSENTIEL, DE LA MISE EN CONFORMITÉ AUX QUESTIONS D’ÉTHIQUE
Aurélie Pols et Samia Abara, 7 juin 2016
Digital Intelligence Solutions
PROGRAMME
› Introduction› La protection des données dans l'actualité› Les bases de la protection des données› Les frictions génératrices d'opportunités › Un outil utile à votre entreprise› FOCUS : Mise en conformité CNIL
› Q&R
Digital Intelligence Solutions
INTRODUCTION
Digital Intelligence Solutions
PROTECTION DES DONNÉES : VOTRE ÉQUIPE D‘EXPERTS
Samia Abara-BaslyEvangéliste ProduitAT Internet
Aurélie PolsExperte internationale en protection des données
Avec plus de 9 ans d’expérience en Digital Analytics, Samia accompagne les grands comptes AT Internet (Vente privée, Rue du commerce, Carrefour, etc.) dans la collecte et l’exploitation de leurs données. Elle est aujourd'hui Evangéliste Produit pour l'ensemble des solutions AT Internet.
Aurélie Pols élabore des bonnes pratiques en matière de protection des données : elle documente les flux de données afin de limiter les revers liés aux défaillances de protection des données et minimise les risques relatifs à l'augmentation continue des utilisations de données tout en œuvrant pour leur qualité. Elle a récemment rejoint la société leader DMP Krux Digital Inc. en tant qu'avocate spécialisée dans la gouvernance et la protection des données.
Digital Intelligence Solutions
AT INTERNET ET LA PROTECTION DES DONNÉES
› Elles foisonnent de toutes parts. Nos vies sont toujours plus numériques.
› Nous comprenons le besoin de convertir les données pertinentes en opportunités commerciales...
› ...mais nous sommes aussi conscients de la nécessité absolue de respecter la vie privée des utilisateurs.
› Un acteur indépendant avec des racines européennes Nous sommes intraitables en matière de protection
de la vie privée.
› Laissez-vous conseiller par un expert pour savoir comment envisager et aborder la protection des données.
LES DONNÉES FONT BATTRE LE CŒUR DE NOTRE ACTIVITÉ
Digital Intelligence SolutionsDigital Intelligence Solutions
Publicité digitale et ciblage En matière de publicité, Internet dépasse la télévision avec un incroyable budget annuel de 36,2 Mds€
Volume de DONNÉES
2,5 quintillions de bytes de données sont générés chaque jour
Consommateur connecté en permanence 3 appareils connectés par personne
en 2014 9 h 53 m : temps moyen que les adultes américains passent chaque jour devant des écrans connectés Sources : IAB (2016), IBM (2014), Statistica (E.-U., 2014), eMarketer (E.-U., 2015)
PROTECTION DES DONNÉESLA NOUVELLE ÈRE
Digital Intelligence Solutions
Les révélations scandaleuses d'Edward Snowden
ont exacerbé le besoin de transparence et de
protection des données en matière de vie privée.
PROTECTION DES DONNÉESLA NOUVELLE ÈRE
L'APD française (la CNIL) recommande AT INTERNET pour sa conformité aux règlements sur les cookies
Digital Intelligence Solutions
Digital Intelligence Solutions
PROTECTION DES DONNÉESLE PARADOXE
65 % des consommateurs doutent de la sécurité de leurs données personnelles.
67 % sont prêts à partager des données personnelles en échange de services supplémentaires.
Source : Accenture
Digital Intelligence Solutions
LA PROTECTION DES DONNÉES DANS L'ACTUALITÉVOUS N'ÊTES PAS AU BOUT DE VOS SURPRISES !
Digital Intelligence Solutions
EXEMPLES DE L'ACTUALITÉ MONDIALE DE LA PROTECTION DES DONNÉESAVEC DES CONSÉQUENCES PLUS OU MOINS FORTES
› Vous souvenez-vous d'Ashley Madison et de la fuite des données ?› Les données en cause sont jugées irrecevables par le tribunal. De qui se moque la justice ?
› Où en est la législation internationale en matière de protection des données ?› Pensez-vous que l'ONU ait un rôle à jouer ?
› Estimez-vous qu'un examen devrait être considéré comme une donnée personnelle ?› La Cour européenne de justice doit en décider, soulevant aussi la problématique de la propriété des
données...
› Pensez-vous que bloquer les AdBlockers est illégal, en vertu de la (2e révision) de la directive vie privée et communications électroniques (ePrivacy) ?› Apparemment, la Commission européenne le pense...
Digital Intelligence Solutions
Digital Intelligence Solutions
RÈGLEMENTS PASSÉS ET À VENIR EN MATIÈRE DE PROTECTION DES DONNÉES
LÉGISLATION EUROPÉENNE EN PLACE
SafeHarborpour les transferts internationaux de données personnelles
Directive européenne sur la protection des données (95/46/EC)règlemente les données personnelles au sein de l'UE
Directive européenne ePrivacy* sur la vie privée et les communications électroniques – au menu, les cookies !
* (2006/24/EC et 2009/136/EC modifiant la directive 2002/58/EC)
FUTURE LÉGISLATION EUROPÉENNE
PrivacyShieldsuffisamment efficace ?
Le règlement général européen sur la protection des données (RGPD) renforce et unifie la protection des données des citoyens européens
Révision de la directive vie privée et communications électroniques (ePrivacy) Réglementation ? Confidentialité de toutes les communications (Skype, WhatsApp, …) + renforcement des règles de consentement ?
25 mai 2018
Digital Intelligence Solutions
LES BASES DE LA PROTECTION DES DONNÉESS'ACCORDER SUR LA DÉFINITION DES ENJEUX
Digital Intelligence Solutions
LES ACTEURS DE LA PROTECTION DES DONNÉESQUELLE EST VOTRE PLACE DANS L'ÉCOSYSTÈME DES DONNÉES ? QUEL EST VOTRE RÔLE ?
ÉCOSYSTÈMEDES
DONNÉES
Digital Intelligence Solutions
PRINCIPES FONDAMENTAUX DE LA PROTECTION DES DONNÉESÉ-Q-U-I-L-I-B-R-E : IMBRICATION CONTRACTUELLE ET FONCTIONNELLE DES RESPONSABILITÉS
› Si la solution est simple et juste, pourquoi ne pas l'adopter ?› Tous les autres suivront…
Digital Intelligence Solutions
PRÉVENIR D'ÉVENTUELS PRÉJUDICES
› Législation relative au cyberstalking (cyber-harcèlement)› Tous les états ne sont pas logés à la même enseigne, comme pour le RGPD
› Législation relative au cyberbullying (cyber-intimidation)› Éducation ? Responsabilité parentale
› Responsabilités relatives à la protection et à la sécurité des données pour éviter l'usurpation d'identité
› Discrimination dans le ciblage comportemental“ Les associations antichoix ont recours à la surveillance des smartphones pour cibler les femmes qui envisagent l'avortement pendant leurs visites médicales ”
› Uber et non-employés => économies
› Plateformes : capital vs. emploi
COMMENT L'UTILISATION DES DONNÉES PEUT INFLUENCER LA VIE PRIVÉE DES PERSONNES
Digital Intelligence SolutionsDigital Intelligence Solutions
LES DONNÉES TRANSFORMENT PROFONDÉMENT NOS VIES
LA PRÉSERVATION DE LA DIGNITÉ HUMAINE EST EN JEU
Digital Intelligence Solutions
LES FRICTIONS GÉNÉRATRICES D'OPPORTUNITÉSN'ESSAYEZ PAS DE DÉFINIR LES DONNÉES PERSONNELLES IDENTIFIABLES (PII) NI LES DONNÉES PERSONNELLES
Digital Intelligence Solutions
LA LÉGISLATION SUR LA PROTECTION DE LA VIE PRIVÉE DANS LE MONDELES DONNÉES PERSONNELLES IDENTIFIABLES (PII) AMÉRICAINES CONTRE LES DONNÉES PERSONNELLES EUROPÉENNES
Digital Intelligence Solutions
TYPES DE DONNÉES ET LÉGISLATION : LES OBLIGATIONS VARIENT
Règlement général de protection des données(RGDP) – 25 mai 2018
Digital Intelligence Solutions
POINTS DE TENSION ENTRE LES PII (US) ET LES DONNÉES PERSONNELLES (UE)
Données personnelles identifiables (PII) Données personnelles
1. Nom, tels que les noms complets, nom de jeune fille, nom de jeune fille de la mère ou alias ;
2. Numéros d'identification personnels : n° de sécurité sociale (INSEE), n° de passeport, n° de permis de conduire, n° de compte et de carte de crédit.
3. Adresse : adresse postale ou électronique ;4. Information matérielle : protocole internet (IP) ou
adresse physique (MAC) ;5. Numéro de téléphone (portable, professionnel et
privé). Information identifiant des biens personnels (n° d'immatriculation du véhicule ou n° de titre et informations connexes).
“ Constitue une donnée à caractère personnel toute information relative à une personne ou une personne physique identifiable (“ personne concernée ”) ; constitue une personne identifiable, une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques qui sont propres à son identité physique, psychique, économique, culturelle ou sociale ”
Définition généralement utilisée par la majorité des États américains Directive 95/46/CE, directive de protection des données
Digital Intelligence Solutions
LA DÉSIDENTIFICATION EST UN EXERCICE DE CONFORMITÉ
Extrait de Shades of Grey : Seeing the full spectrum of Practical Data De-Identification by Jules Polonetsky, Omer Tene et Kelsey Finch,
1er avril 2016, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757709
Digital Intelligence Solutions
L'IDENTIFICATION EST UNE QUESTION DE CONFIANCE
D’après le livre blanc Confidentialité et protection des données : comprendre les grands principes et garantir la conformité de vos activités Digital Analytics par Aurélie Pols pour AT Internet, mai 2016
Digital Intelligence Solutions
ÉTHIQUE NUMÉRIQUE
› Au-delà de la conformité› Approche stratifiée pour les sociétés
exploitant les données› Promesse à vos clients : CONFIANCE› Strict minimum : Conformité !
ÉTHIQUEPROCÉDU
RELÉGISLATI
ON
Digital Intelligence Solutions
A L’ATTENTION DE VOTRE ÉQUIPE RESPONSABLE DES DONNÉES
Je me souviendrai que les données ne représentent pas seulement des chiffres mais bien de réelles personnes physiques à qui mon travail pourrait faire du
tort ;
Je traiterai les données permettant d'identifier des personnes avec la plus grande précaution, dans le respect de leur dignité, l'absence de discrimination et
l'application de bonnes pratiques de sécurité ;
Je ne ferai rien à des données personnelles que je puisse trouver inacceptable pour des données relatives à ma famille, à mes amis, aux êtres qui me sont chers ou à
moi-même ;
Je comprends que les données personnelles, les PII et les données sensibles dépendent de leur contexte et sont souvent difficiles à identifier. En cas
de doute, je demanderai de l'aide ou solliciterai mes supérieurs afin de prendre les mesures opportunes ;
Je comprends que les données à caractère personnel doivent transiter sans perdre leur finalité initiale (la raison de leur existence) ni leurs mécanismes
de consentement respectifs ;
a) Je n'utiliserai jamais de données sans connaître leur origine, leur finalité et leurs mécanismes de consentement (cf. Quién es la Última Principle) ;
b) Je ne vendrai jamais de données à caractère personnel sans consentement préalable ;
c) Si je vends des données consenties, elles seront associées à leur finalité. Il revient à l'acheteur de définir si les utilisations des données subséquentes sont conformes.
Je comprends que le consentement puisse être révoqué et le droit à l'oubli (la suppression) puisse être revendiqué, démarche qu'il faudra respecter ;
J'adapterai les protocoles de sécurité en fonction du degré de sensibilité des données (personnelles et sensibles) ;
J'assurerai le suivi et la documentation des données utilisées afin de minimiser les risques encourus lors de leurs utilisations.
ÉTHIQUE DE L'ANALYSTE
Digital Intelligence SolutionsSolutions de Digital Intelligence
DE LA CONFORMITÉ À L'UTILISATION ÉTHIQUE DES DONNÉES
LA SOLUTION : DÉPASSER LE STADE DE LA CONFORMITÉ
Éthique Avantages de la protection des données Risques Conformité
Digital Intelligence Solutions
UN OUTIL UTILE À VOTRE ENTREPRISEEN ACCORD AVEC VOS CHOIX ÉTHIQUES RELATIFS AUX DONNÉES
Digital Intelligence Solutions
DIGITAL ANALYTICS ET PROTECTION DES DONNÉES
Digital Intelligence Solutions
DIGITAL ANALYTICS ET PROTECTION DES DONNÉES LES POINTS CRITIQUES
› Le Digital Analytics s’inscrit désormais dans un processus de Digital Intelligence car les décisions s'appuyant réellement sur les données ne peuvent être prises que sur la base d'une synchronisation guidée et avisée de données collectées.
› Il est fondamental de garantir que ces données collectées sont "propres" pour qu'elles soient correctement exploitables en totale conformité juridique.
› Dénicher un partenaire Digital Analytics fiable capable de trouver le juste équilibre entre les risques juridiques et les opportunités commerciales liées aux données peut s'avérer être un véritable défi.
› Les partenaires de cette transformation doivent...
› ÊTRE ENGAGÉS DANS LA PROTECTION DES DONNÉES en comprenant et en respectant les défis d'aujourd'hui mais aussi de demain en matière de protection des données.
› GARANTIR L'ÉVOLUTIVITÉ nécessaire pour trouver de nouveaux moyens efficaces de collaborer avec leurs clients et de les servir.
› ÊTRE RÉACTIFS, FIABLES ET TRANSPARENTS.
› ÊTRE INDÉPENDANTS dans le sens où ces données ne devraient pas constituer la source de revenus du fournisseur.
› GARANTIR LA PROPRIÉTÉ DES DONNÉES AUX CLIENTS qui devraient toujours conserver le contrôle total de toutes les données collectées.
Digital Intelligence Solutions
AT INTERNET ET LA PROTECTION DES DONNÉES
› Les clients d'AT Internet profitent non seulement d'un support technique mais aussi d'un conseil spécialisé en matière de bonnes pratiques et de législation relatives à la protection des données.
› CNIL / EXEMPTION POUR CERTAINS COOKIES› En décembre 2013, la CNIL a publié une recommandation appelée la directive cookie.› Suite à sa publication, AT Internet et la CNIL ont négocié un accord permettant à AT Internet de proposer une solution de mesure d'audience exemptée et disponible en
France depuis 2015.› Un accord unique a été trouvé concernant l'exemption du consentement : les professionnels du marketing français sont dispensés d'obtenir le consentement des
utilisateurs lorsqu'ils recourent à la solution exemptée d'AT Internet.
› CERTIFICATION TÜV SAARLAND› Cette célèbre organisation de certification indépendante a décerné sa certification TÜV à AT Internet GmbH (la filiale allemande d'AT Internet), reconnaissant que les
procédures de collecte et de traitement de données associées à la solution d'AT Internet respectent les normes de protection et de sécurité des données.
› DONNÉES HÉBERGÉES EN EUROPE› Collecte et stockage dans ses propres serveurs en France.
UN MODÈLE DANS CE DOMAINE
Digital Intelligence Solutions
MISE EN CONFORMITÉ CNILAT INTERNET – EXEMPTION DE CONSENTEMENT
Digital Intelligence Solutions
COMMENT SE METTRE EN CONFORMITÉ ? RECOMMANDATION "COOKIES" DE LA CNIL
Deux solutions :
1. Utiliser un outil dispensé de consentement
2. Recueillir le consentement de l'internaute en cas d'utilisation d'outil non conforme
Source : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/
Digital Intelligence Solutions
1. EXEMPTION 2. HORS EXEMPTION
INFORMATION & RECOURS
MESURE
Bandeau : Demande de consentement pour la mesure d’audience.
Information des utilisateurs.
Opt out
Mesure et dépôt de cookie après consentement (scroll).
Information des utilisateurs.
Opt out
Mesure & dépôt de cookie dès la première page.
MISE EN
CO
NFO
RM
ITE
A NOTER – EXHAUSTIVITE DE LA MESURE D’AUDIENCE SUR SITE
La solution de mesure exemptée offre une mesure exhaustive de la volumétrie sur site :- la mesure analytique s’effectue de la première à la dernière page visitée sur l’ensemble des parcours des internautes sur le site. - l’ensemble des analyses standards est accessible (Pages & contenus, navigation, devices, conversions, etc.). - La donnée analytique est accessible et exploitable au niveau individuel (anonyme). Des segments et cohortes peuvent être utilisés.
Digital Intelligence Solutions
1. EXEMPTION 2. HORS EXEMPTION
INFORMATION & RECOURS
MESURE
Bandeau : Demande de consentement pour la mesure d’audience.
Information des utilisateurs.
Opt out
Mesure et dépôt de cookie après consentement (scroll).
Durée du cookie 1st et 3rd : 13 mois.
IP : suppression après 6 mois.
Géolocalisation : échelle ville uniquement.
Durée de retention de la donnée détaillée: durée du contrat.
Portail : déduplication des visites sur plusieurs sites.
Information des utilisateurs.
Opt out
Mesure & dépôt de cookie dès la première page.
Durée du cookie 1st et 3rd : 13 mois.
IP : anonymisée et suppression après 6 mois.
Géolocalisation : échelle ville uniquement.
Durée de retention de la donnée détaillée : 13 mois.
Portail : déduplication des visites sur plusieurs sites.
Absence de mesure avec dépôt de cookie, hors site.
Recoupement avec des données externes proscrit.
Données GPS : proscrites.
MISE EN
CO
NFO
RM
ITE
Digital Intelligence Solutions
PROCESSBENEFICIER DE L’EXEMPTION
Informer l’internaute de la présence de cookies de mesure d’audience. Le message suivant peut être utilisé : « Afin de mieux vous servir et d’améliorer l’expérience utilisateur sur notre site, nous mesurons son audience grâce à une solution utilisant la technologie des cookies. Les données collectées permettent de fournir uniquement des données statistiques anonymes de fréquentation (le nombre de pages vues, le nombre de visites, leur fréquence de retour,...)».
Mettre en place l’option opt-out.
Respecter les consignes d’implémentation du marqueur AT Internet pour ne pas collecter des données externes au site et des données personnelles autre que l’adresse IP. Ces consignes sont présentes dans la documentation en ligne relative au marquage (guide de marquage).
Demander à AT Internet d’activer le paramétrage « exemption » anonymisation de l’adresse IP, durée de rétention des données détaillées n’excédant pas 13 mois, désactivation des modules proscrits par l’exemption). NB : Pour les clients existants disposant de l’option DataExplorer et en complément des éléments précédemment listés, un audit des données collectées jusqu’alors devra être réalisé afin de déterminer les actions spécifiques à mettre en place et le temps nécessaire à ces dernières (ex: purge des données, correction du marquage ).
Digital Intelligence SolutionsSolutions de Digital Intelligence
Digital Intelligence Solutions
AT INTERNET ET LA PROTECTION DES DONNÉESUN MODÈLE DANS CE DOMAINE
Digital Intelligence Solutions
LIVRE BLANC SUR LA PROTECTION DES DONNÉES
› Confidentialité et protection des données : comprendre les grands principes et garantir la conformité de vos activités Digital Analytics par Aurélie Pols pour AT Internet, Mai 2016
Dans ce livre blanc :
› Un process en 5 étapes pour limiter les risques liés aux données
› Les bonnes pratiques pour respecter les grands principes de protection des données
› Une checklist pour minimiser le risque des données de vos outils digitaux
› Le glossaire de la Protection des données