Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Humanités
  2. Communication
  3. Publicité

lfcomiteagri07032017 - Union des annonceurs

publicité 
Publicité en ligne
et données personnelles
Actualités juridiques
PARIS • 7 mars 2017
UNION DES ANNONCEURS
53, avenue Victor Hugo - 75 116 • PARIS
Tél : 01 45 00 79 10 • Fax : 01 45 00 55 79
www.uda.fr
Support de présentation orale – Laureline FROSSARD – Responsable juridique UDA
2
Achats médias :
Obtenir la transparence en 2017
NOUVEAU DECRET RELATIF AUX
PRESTATIONS DE PUBLICITE DIGITALE
24/06/16
Décret du 9 février 2017 relatif aux prestations de « publicité digitale »
3
QUELLES PRESTATIONS ?
Prestations de publicité ayant pour objet la
diffusion de messages publicitaires sur un
support connecté
(article 1)
SUR QUELS TERRITOIRES ?
Lorsque le message est diffusé en France au bénéfice
d’un annonceur français
Exception : le vendeur d’espace basé dans un autre Etat membre
soumis à des obligations équivalentes
en application de sa loi nationale (article 4)
QUAND ?
A partir du 1er janvier 2018
(Article 5)
QUI ?
Emetteur du reporting dans les deux régimes juridiques (articles 2 et 3) :
le vendeur d’espace au sens de l’article 23 de la loi c’est-à-dire un support ou une régie représentant un ou plusieurs supports. L’achat-revente reste interdit.
2 régimes juridiques
Régime particulier
Régime général (Article 2)
Prestations digitales hors achats programmatiques
(Article 3)
Prestations digitales en achats programmatiques
Campagnes de publicité digitale qui remplissent les conditions
cumulatives suivantes : espaces non garantis, achetés aux enchères
ou non, en temps réel, donnant lieu à la diffusion de messages
publicitaires ciblés, achetés à la performance
Contenu du reporting
Une information à transmettre dans les deux régimes juridiques : le coût cumulé ou unitaire des espaces facturés :
automatique pour le régime général, sur demande pour l’achat programmatique
- date de diffusion des annonces,
- emplacements de diffusion des annonces,
- coûts des espaces publicitaires facturés (cf ci-dessus..)
- exécution effective des prestations (univers de diffusion, contenu des
messages, format, performance, coûts des espaces facturés (cf ci-dessus…)
- qualité technique des prestations (outils, acteurs, objectifs qualitatifs..)
- Protection de l’image et de la réputation de l’annonceur (diffusion sur des
sites illicites, brand safety…)
- Engagements pris dans le cadre de charte de bonnes pratiques
Et quelles sont les obligations de reporting des intermédiaires à l’achat (agence média, trading desk, DSP…) ?
En matière d’achats programmatiques, les intermédiaires à l’achat, doivent permettre à l’annonceur d’avoir accès aux outils de
compte rendu mis à sa disposition par les vendeurs d’espaces (article 3, dernier alinéa du décret du 9 février 2017)
A noter : les agences médias ont également des obligations de reporting vis-à-vis de l’annonceur en application de leur contrat de
mandat (article 1993 du code civil) et de l’article 23 de la loi Sapin en cas de modification des conditions de diffusion, obligation qui
n’a pas été reprise dans le décret sur les prestations de publicités digitales
Décret du 09/02/17 relatif aux prestations de publicité digitale
4
•
La loi Sapin est-elle étendue à la publicité digitale par ce décret ?
•
La loi Sapin est-elle remise en cause par ce décret ?
•
La loi Sapin est-elle applicable aux achats programmatiques ?
•
Le décret crée-t-il un statut spécifique remettant en cause l’interdiction de l’achatrevente ?
•
Quel est l’émetteur du reporting prévu dans le décret ? Que recouvre la notion de
vendeur d’espaces publicitaires ?
•
Une définition large de la notion de vendeurs d’espace peut-elle être retenue ?
•
Les vendeurs d’espaces opérant depuis l’étranger sont-ils concernés par le décret ?
•
Les vendeurs d’espaces opérant depuis l’étranger sont-ils exemptés en cas d’obligations
contractuelles équivalentes ?
•
Les intermédiaires à l’achat ont-ils des obligations de compte rendu ?
•
Qui facture quoi à l’annonceur ? Quelques petits rappels
•
De l’utilité du reporting prévu par le décret en matière de prestations digitales…
Une boîte à outils juridiques
est à votre disposition
sur notre site !
Elle contient :
- Un mémo synthétique sur le reporting
digital
- Des schémas explicatifs
- Un modèle de contrat actualisé
- Un guide juridique dédié au reporting
- Un rappel des principes de la loi
Sapin
- Des éléments sur le contexte
international
La "plateforme présidentielle" de l'UDA

7
Assouplir les contraintes réglementaires pesant sur certaines techniques de
communication :



en ouvrant à nouveau l’offre publicitaire de France Télévisions en soirée ;
en alignant la réglementation française applicable aux techniques publicitaires
audiovisuelles sur le cadre juridique européen (parrainage, ….) ;
en supprimant la réglementation empêchant le développement de publicités
personnalisées en matière audiovisuelle (géolocalisation, …).

Maintenir le cadre législatif favorable à la transparence des relations
économiques et des flux financiers du marché publicitaire instauré en 1993 tout en
l’adaptant aux évolutions des modes de commercialisation des espaces publicitaires

Endiguer le flux et alléger le stock des réglementations imposant des mentions
d'informations présentes dans les publicités dans un souci de meilleure information du
consommateur et de simplification opérationnelle pour les entreprises

Créer les conditions optimales à la mise en œuvre d’un cadre juridique en matière
de données personnelles stable et conforme au droit européen

Ne pas entraver le développement de secteurs d’activités (produits alimentaires,
jouets …) par une interdiction de communiquer ou un encadrement trop strict équivalent
à une interdiction
La "plateforme présidentielle" de l'UDA (suite)
8

Ne pas proposer de nouvelle taxe pesant sur les annonceurs ou leurs partenaires

Mettre en place un crédit d’impôt « communication » (R&D, films publicitaires…)
ou tout autre dispositif d’incitation fiscale en direction des annonceurs

Développer un dispositif fiscal pour l'accompagnement du passage à
l’échelle (scaling up) des entreprises (ETI…) proposant des innovations en matière
de communication

Renforcer les mécanismes d’incitation au mécénat et au parrainage

Encourager le développement des initiatives et des outils pédagogiques d’éducation
aux médias et à la publicité (programme Médiasmart, …)

Sensibiliser les établissements et les acteurs de la formation relevant de l’Etat au
rôle de la publicité et aux pratiques de communication responsable
9
Evolutions du cadre juridique des données
personnelles et de la publicité en ligne
sous l’impulsion du droit européen
Un cadre non encore stabilisé
10
Règlement européen pour la protection
des données personnelles (GDPR)
une application directe et uniforme au
sein de tous les États membres à compter
du 25 mai 2018
Règlement européen sur la protection des données
Sanctions
jusqu’à 20
millions d’€ ou
4% du CA
annuel
mondial total
Règlement européen
sur la protection des
données personnelles
 De plus grandes
responsabilités
(accountability et preuves,
analyses d’impact, privacy by
design, privacy by default …)
Loi de 1978
Informatique et
libertés
Directive 1995
 De nouveaux droits à
organiser
 Des informations
supplémentaires à délivrer
 Des relations avec les
prestataires à préciser
La définition des données personnelles
Définition
Toute information se rapportant à une
personne physique identifiée ou
identifiable
(ci-après
dénommée
«personne concernée»);
Est réputée être une «personne physique
identifiable» une personne physique qui
peut être identifiée, directement ou
indirectement, notamment par référence à
un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation,
un identifiant en ligne, ou à un ou
plusieurs
éléments
spécifiques
propres à son identité physique,
physiologique,
génétique,
psychique,
économique, culturelle ou sociale;
Le cas des identifiants en ligne
Les personnes physiques peuvent se voir
associer, par les appareils, applications,
outils et protocoles qu'elles utilisent, des
identifiants en ligne tels que des adresses
IP et des témoins de connexion
(«cookies») ou d'autres identifiants, par
exemple des étiquettes d'identification par
radiofréquence.
Ces
identifiants
peuvent laisser des traces qui,
notamment lorsqu'elles sont combinées
aux identifiants uniques et à d'autres
informations reçues par les serveurs,
peuvent servir à créer des profils de
personnes physiques et à identifier
ces personnes.
 Les données pseudonymes sont des données
personnelles
 Ne pas confondre anonymisation et pseudonymisation
Règlement européen sur la protection des données
Un texte qui pose de nouveaux principes …
 un principe de responsabilité (accountability) : le responsable de
traitement doit être mesure de démontrer sa conformité au GDPR
• Corolaire : plus besoin de déclaration préalable – une approche par
les risques
• Passe par :
• Une analyse d’impact : définition des niveaux de risque et mises en œuvre de
mesures techniques et organisationnelles, avant chaque traitement
• La tenue d’un registre des activités de traitement
• La notification des failles de sécurité auprès de l’autorité de contrôle et des
personnes concernées
• Peut également passer par :
• La désignation d’un Délégué à la protection des données (DPO)
• L’adhésion aux codes de conduite / soumission aux mécanismes de
certification
Règlement européen sur la protection des données
Un texte qui pose de nouveaux principes (suite)
 un principe de privacy by design et privacy by default :
• le responsable de traitement devra prendre en compte la protection
des
données
personnelles
dès
la
conception
de
ses
produits/services (by design)
• et devra garantir que, par défaut, seules les données nécessaires à
chaque finalité spécifique seront traitées (by default)
et consécration des principes
confidentialité  cf. infra
de
transparence,
minimisation,
un principe de coresponsabilité : une responsabilité conjointe entre
co-responsables de traitement ; en matière de sous-traitance, des cas
dans lesquels la propre responsabilité du sous-traitant est engagée
sont prévus
 …
Règlement européen sur la protection des données
Un texte qui confère de nouveaux droits aux personnes
concernées
Droits existants renforcés
• Droit d’accès (art. 15)
• Droit de rectification (art. 16)
• Droit d’opposition (art. 21) dont :
o Droit d’opposition au traitement à
des fins de prospection, y
compris au profilage (art. 21)
o Droit de ne pas faire l’objet d’une
décision fondée exclusivement
sur un traitement automatisé, y
compris le profilage (art. 22)
Nouveaux droits
• Droit de retirer son
consentement (art. 7)
• Droit à l’effacement / Droit à
l’oubli (art. 17)
• Droit à la limitation du
traitement (art. 18)
• Droit à la portabilité (art. 20)
+ exercice des droits par voie
électronique
+ obligation d’un retour de la part
du responsable de traitement
sur les mesures prises.
Règlement européen sur la protection des données
Des règles renforcées pour la collecte et l’utilisation des
données personnelles
 des principes généraux réaffirmés (art. 5) :
• Licéité, loyauté ; la transparence érigée en principe
• Limitation des finalités
• Minimisation des données
• Exactitude
• Limitation de la conservation
• Intégrité et confidentialité consacrés comme principe
 des bases légales identiques mais avec des conditions renforcées
(art. 6) :
• Le consentement (art. 7 et 8) : libre, spécifique, éclairée et univoque
• L’intérêt légitime du responsable de traitement ou d’un tiers
• …
Règlement européen sur la protection des données
 de nouvelles informations à délivrer (art. 13 et 14) :
• Les coordonnées du DPO (lorsqu’il existe)
• La base juridique du traitement et, le cas échéant, les intérêts légitimes
poursuivis
• L’intention d’effectuer un transfert de données vers un pays tiers (déjà
prévu par la Loi de 1978) et ses modalités
• La durée de conservation des données (ou au moins les critères utilisés pour
le faire)
• L’existence des nouveaux droits pour la personne concernée (effacement,
limitation, portabilité, retrait de son consentement)
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle
• L’existence d’un profilage, son importance et ses conséquences
• L’intention d’effectuer un traitement ultérieur, sa finalité et toute
information pertinente
• La source des données détenues, en cas de collecte indirecte
 De nouvelles précisions sur les conditions de délivrance (au moment où les
données sont obtenues, …) et la présentation des informations
Règlement européen sur la protection des données
20
 LES ENJEUX ET LES DÉFIS
• La définition d’une stratégie en matière de base légale de
traitements de données
• La mise en place d’une documentation
• La mise en place de mesures pour assurer les principes de
privacy by design et le privacy by default
• Les modalités de délivrance des informations : rendre
digeste une information pléthorique au moment où les
données sont collectées
• Le choix des sous-traitants et partenaires (not. sécurité)
Règlement européen sur la protection des données
 LES PREMIÈRES ACTIONS À METTRE EN ŒUVRE
 SENSIBILISER,
ÊTRE PROACTIF, RÉORGANISER ET DOCUMENTER
 Sensibiliser et mettre la protection des données personnelles au
centre des projets : communiquer sur les grands principes et sur la nouvelle
approche par les risques, identifier et inclure les acteurs clés dans les
nouveaux processus, envisager la désignation d’un DPO, …
 Identifier/ Recenser les traitements effectués et les données
traitées: les qualifier et identifier leur base juridique, …
 Mettre en place un registre des activités de traitement
 Formaliser et réviser les procédures d’exercice des droits
 Mettre à niveau et formaliser les mesures de sécurité
 Recenser les contrats existants ainsi que les processus contractuels
et les réviser le cas échéant : qualifier les relations contractuelles, passer
des contrats ECRITS, insérer les clauses obligatoires, …
22
Projet de Règlement E-privacy
Une révision de la directive qui traite des
cookies, de l’emailing …
En cours d’adoption pour une mise en
application envisagée le 25 mai 2018
Projet de règlement E-Privacy
23
 Un projet de règlement européen
 publié mi-janvier par la Commission européenne
 qui souhaite une adoption rapide
 pour une mise en application au plus tard le 25 mai 2018 –
comme le règlement européen sur la protection des données
personnelles
 que contient le projet ?
Projet de règlement E-Privacy
24
• Une généralisation du principe de l’opt-in pour le
marketing direct envoyé par voie électronique.
« toute forme de publicité, écrite ou orale, envoyée à un ou
plusieurs utilisateurs identifiables de services de
communications électroniques, incluant les l’utilisation des
automates d’appel et services de communications avec ou
sans intervention humaine, les emails, sms, etc. »
 Une définition large qui suscite l’inquiétude et ne tient pas compte
du GDPR
 Un opt-in qui concerne aussi le BtoB
 Une exception au consentement préalable maintenue : l’email pour
les produits et services analogue n’est pas soumis à opt-in
 Le démarchage téléphonique soumis à l’opt-in sauf disposition
contraire des Etats membres
Projet de règlement E-Privacy
25
• Une extension à tous les acteurs du principe de confidentialité des
contenus et, fait nouveau, des metadatas échangés.
 Aujourd’hui ce principe concerne les seuls opérateurs
communications électroniques (sous réserve Loi Rép. Numérique)
de
 Cette interdiction est étendue aux métadatas émises par les
terminaux (nb: la donnée de localisation qui est générée dans un contexte autre qu’un
service de communication électronique ie autre que pour permettre l’accès ou la connexion à un
réseau n’est pas considérée comme une métadonnée – à confirmer)
 Les possibilités de déroger par le consentement des utilisateurs
sont limitées à des cas précis
• Des règles sur les mesures de fréquentation de lieux publics
• Une information visible à l’entrée de la zone couverte sur la finalité
du traitement + son responsable + les mesures que peut prendre le
visiteur pour minimiser la collecte ou la stopper (+ informations
GDPR le cas échéant)  Icônes?.
RAPPEL
:
Mécanisme
de
la
recommandation
26
(consentement implicite / cookies non exemptés)
Bandeau d’information lisible et accessible
qui informe
sur les finalités et permet
d’en savoir plus
Si l’internaute souhaite en savoir plus
Je ne dépose, …, pas de cookies
Il accède à une page sur laquelle
Je précise les finalités par
type de cookies
J’offre la possibilité
d’accepter ou de refuser
tout ou partie des cookies
L’internaute navigue sans
paramétrer : Je peux déposer, …,
des cookies
L’internaute paramètre :
Je respecte ses choix
sur les conséquences de la poursuite
de la navigation
L’internaute poursuit sa navigation
Je peux déposer, …, des
cookies
Projet de règlement E-Privacy
27
• Un renforcement des règles sur les cookies et autres traceurs :
 Sont explicitement visées l’ensemble des techniques de tracking
 il est toujours exigé que les utilisateurs consentent à la lecture ou
l’installation de cookies, etc., sauf pour les cookies techniques. A cette
exception sont ajoutés certains cookies d’audience, comme cela était déjà
admis en France.
 le consentement des internautes devra répondre aux critères posés par le
GDPR
 il est réaffirmé que le navigateur peut permettre à l’internaute d’exprimer
son consentement
 Navigateurs et cookies tiers (nouveau): les navigateurs devront
proposer un paramétrage (acceptation ou refus) dédié aux cookies tiers.
– Le projet de règlement qui avait fuité prévoyait un paramétrage de
refus par défaut des cookies tiers.
– Dans le projet rendu public, les utilisateurs devront
obligatoirement procéder au paramétrage des cookies tiers
pour poursuivre l’installation de leur navigateur, ou lors de leur
mise à jour, et au plus tard le 25 août 2018.
Cookies – dernières actualités de la CNIL
Où en est-on en France ?
Des contrôles étendus aux partenaires des éditeurs
de sites, dont les annonceurs, en matière de publicité
ciblée.
« Ce sont tant les annonceurs et les régies que les autres
partenaires qui doivent collectivement se mettre en conformité
pour construire des modèles de publicité ciblée pérennes, c’està-dire respectueux des droits des personnes. »
Communiqué de presse de la CNIL du 27 juillet 2016
 Une réunion interprofessionnelle organisée par la CNIL en février
 La CNIL annonce un changement d’approche sur les responsabilités
des uns et des autres dans la publicité digitale en matière de cookies
 Une publication sur le site de la CNIL dans les prochaines semaines
Documents connexes
Protection des données Il nous importe de veiller au respect de
Protection des données Il nous importe de veiller au respect de
Informations légales
Informations légales
politique relative aux cookies utilisés par webacappella
politique relative aux cookies utilisés par webacappella
Mentions légales
Mentions légales
la traçabilité sur le web
la traçabilité sur le web
Rome was ungovernable. Julius Caesar, populist, was elected
Rome was ungovernable. Julius Caesar, populist, was elected
Nous utilisons des cookies
Nous utilisons des cookies
CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL 1.
CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL 1.
La nouvelle loi belge en matière de cookies
La nouvelle loi belge en matière de cookies
En savoir plus
En savoir plus
Contrôler la publicité sur son navigateur internet
Contrôler la publicité sur son navigateur internet
enseignes - Color Impact
enseignes - Color Impact
internet : navigation web - I-Médias
internet : navigation web - I-Médias
Les cookies sont de petits fichiers texte qui vous permettent de
Les cookies sont de petits fichiers texte qui vous permettent de
Télécharger le PDF
Télécharger le PDF
Cookies - La Celle Saint
Cookies - La Celle Saint
En savoir plus
En savoir plus
Téléchargement
publicité