Publicité en ligne et données personnelles Actualités juridiques PARIS • 7 mars 2017 UNION DES ANNONCEURS 53, avenue Victor Hugo - 75 116 • PARIS Tél : 01 45 00 79 10 • Fax : 01 45 00 55 79 www.uda.fr Support de présentation orale – Laureline FROSSARD – Responsable juridique UDA 2 Achats médias : Obtenir la transparence en 2017 NOUVEAU DECRET RELATIF AUX PRESTATIONS DE PUBLICITE DIGITALE 24/06/16 Décret du 9 février 2017 relatif aux prestations de « publicité digitale » 3 QUELLES PRESTATIONS ? Prestations de publicité ayant pour objet la diffusion de messages publicitaires sur un support connecté (article 1) SUR QUELS TERRITOIRES ? Lorsque le message est diffusé en France au bénéfice d’un annonceur français Exception : le vendeur d’espace basé dans un autre Etat membre soumis à des obligations équivalentes en application de sa loi nationale (article 4) QUAND ? A partir du 1er janvier 2018 (Article 5) QUI ? Emetteur du reporting dans les deux régimes juridiques (articles 2 et 3) : le vendeur d’espace au sens de l’article 23 de la loi c’est-à-dire un support ou une régie représentant un ou plusieurs supports. L’achat-revente reste interdit. 2 régimes juridiques Régime particulier Régime général (Article 2) Prestations digitales hors achats programmatiques (Article 3) Prestations digitales en achats programmatiques Campagnes de publicité digitale qui remplissent les conditions cumulatives suivantes : espaces non garantis, achetés aux enchères ou non, en temps réel, donnant lieu à la diffusion de messages publicitaires ciblés, achetés à la performance Contenu du reporting Une information à transmettre dans les deux régimes juridiques : le coût cumulé ou unitaire des espaces facturés : automatique pour le régime général, sur demande pour l’achat programmatique - date de diffusion des annonces, - emplacements de diffusion des annonces, - coûts des espaces publicitaires facturés (cf ci-dessus..) - exécution effective des prestations (univers de diffusion, contenu des messages, format, performance, coûts des espaces facturés (cf ci-dessus…) - qualité technique des prestations (outils, acteurs, objectifs qualitatifs..) - Protection de l’image et de la réputation de l’annonceur (diffusion sur des sites illicites, brand safety…) - Engagements pris dans le cadre de charte de bonnes pratiques Et quelles sont les obligations de reporting des intermédiaires à l’achat (agence média, trading desk, DSP…) ? En matière d’achats programmatiques, les intermédiaires à l’achat, doivent permettre à l’annonceur d’avoir accès aux outils de compte rendu mis à sa disposition par les vendeurs d’espaces (article 3, dernier alinéa du décret du 9 février 2017) A noter : les agences médias ont également des obligations de reporting vis-à-vis de l’annonceur en application de leur contrat de mandat (article 1993 du code civil) et de l’article 23 de la loi Sapin en cas de modification des conditions de diffusion, obligation qui n’a pas été reprise dans le décret sur les prestations de publicités digitales Décret du 09/02/17 relatif aux prestations de publicité digitale 4 • La loi Sapin est-elle étendue à la publicité digitale par ce décret ? • La loi Sapin est-elle remise en cause par ce décret ? • La loi Sapin est-elle applicable aux achats programmatiques ? • Le décret crée-t-il un statut spécifique remettant en cause l’interdiction de l’achatrevente ? • Quel est l’émetteur du reporting prévu dans le décret ? Que recouvre la notion de vendeur d’espaces publicitaires ? • Une définition large de la notion de vendeurs d’espace peut-elle être retenue ? • Les vendeurs d’espaces opérant depuis l’étranger sont-ils concernés par le décret ? • Les vendeurs d’espaces opérant depuis l’étranger sont-ils exemptés en cas d’obligations contractuelles équivalentes ? • Les intermédiaires à l’achat ont-ils des obligations de compte rendu ? • Qui facture quoi à l’annonceur ? Quelques petits rappels • De l’utilité du reporting prévu par le décret en matière de prestations digitales… Une boîte à outils juridiques est à votre disposition sur notre site ! Elle contient : - Un mémo synthétique sur le reporting digital - Des schémas explicatifs - Un modèle de contrat actualisé - Un guide juridique dédié au reporting - Un rappel des principes de la loi Sapin - Des éléments sur le contexte international La "plateforme présidentielle" de l'UDA 7 Assouplir les contraintes réglementaires pesant sur certaines techniques de communication : en ouvrant à nouveau l’offre publicitaire de France Télévisions en soirée ; en alignant la réglementation française applicable aux techniques publicitaires audiovisuelles sur le cadre juridique européen (parrainage, ….) ; en supprimant la réglementation empêchant le développement de publicités personnalisées en matière audiovisuelle (géolocalisation, …). Maintenir le cadre législatif favorable à la transparence des relations économiques et des flux financiers du marché publicitaire instauré en 1993 tout en l’adaptant aux évolutions des modes de commercialisation des espaces publicitaires Endiguer le flux et alléger le stock des réglementations imposant des mentions d'informations présentes dans les publicités dans un souci de meilleure information du consommateur et de simplification opérationnelle pour les entreprises Créer les conditions optimales à la mise en œuvre d’un cadre juridique en matière de données personnelles stable et conforme au droit européen Ne pas entraver le développement de secteurs d’activités (produits alimentaires, jouets …) par une interdiction de communiquer ou un encadrement trop strict équivalent à une interdiction La "plateforme présidentielle" de l'UDA (suite) 8 Ne pas proposer de nouvelle taxe pesant sur les annonceurs ou leurs partenaires Mettre en place un crédit d’impôt « communication » (R&D, films publicitaires…) ou tout autre dispositif d’incitation fiscale en direction des annonceurs Développer un dispositif fiscal pour l'accompagnement du passage à l’échelle (scaling up) des entreprises (ETI…) proposant des innovations en matière de communication Renforcer les mécanismes d’incitation au mécénat et au parrainage Encourager le développement des initiatives et des outils pédagogiques d’éducation aux médias et à la publicité (programme Médiasmart, …) Sensibiliser les établissements et les acteurs de la formation relevant de l’Etat au rôle de la publicité et aux pratiques de communication responsable 9 Evolutions du cadre juridique des données personnelles et de la publicité en ligne sous l’impulsion du droit européen Un cadre non encore stabilisé 10 Règlement européen pour la protection des données personnelles (GDPR) une application directe et uniforme au sein de tous les États membres à compter du 25 mai 2018 Règlement européen sur la protection des données Sanctions jusqu’à 20 millions d’€ ou 4% du CA annuel mondial total Règlement européen sur la protection des données personnelles De plus grandes responsabilités (accountability et preuves, analyses d’impact, privacy by design, privacy by default …) Loi de 1978 Informatique et libertés Directive 1995 De nouveaux droits à organiser Des informations supplémentaires à délivrer Des relations avec les prestataires à préciser La définition des données personnelles Définition Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; Le cas des identifiants en ligne Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. Les données pseudonymes sont des données personnelles Ne pas confondre anonymisation et pseudonymisation Règlement européen sur la protection des données Un texte qui pose de nouveaux principes … un principe de responsabilité (accountability) : le responsable de traitement doit être mesure de démontrer sa conformité au GDPR • Corolaire : plus besoin de déclaration préalable – une approche par les risques • Passe par : • Une analyse d’impact : définition des niveaux de risque et mises en œuvre de mesures techniques et organisationnelles, avant chaque traitement • La tenue d’un registre des activités de traitement • La notification des failles de sécurité auprès de l’autorité de contrôle et des personnes concernées • Peut également passer par : • La désignation d’un Délégué à la protection des données (DPO) • L’adhésion aux codes de conduite / soumission aux mécanismes de certification Règlement européen sur la protection des données Un texte qui pose de nouveaux principes (suite) un principe de privacy by design et privacy by default : • le responsable de traitement devra prendre en compte la protection des données personnelles dès la conception de ses produits/services (by design) • et devra garantir que, par défaut, seules les données nécessaires à chaque finalité spécifique seront traitées (by default) et consécration des principes confidentialité cf. infra de transparence, minimisation, un principe de coresponsabilité : une responsabilité conjointe entre co-responsables de traitement ; en matière de sous-traitance, des cas dans lesquels la propre responsabilité du sous-traitant est engagée sont prévus … Règlement européen sur la protection des données Un texte qui confère de nouveaux droits aux personnes concernées Droits existants renforcés • Droit d’accès (art. 15) • Droit de rectification (art. 16) • Droit d’opposition (art. 21) dont : o Droit d’opposition au traitement à des fins de prospection, y compris au profilage (art. 21) o Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22) Nouveaux droits • Droit de retirer son consentement (art. 7) • Droit à l’effacement / Droit à l’oubli (art. 17) • Droit à la limitation du traitement (art. 18) • Droit à la portabilité (art. 20) + exercice des droits par voie électronique + obligation d’un retour de la part du responsable de traitement sur les mesures prises. Règlement européen sur la protection des données Des règles renforcées pour la collecte et l’utilisation des données personnelles des principes généraux réaffirmés (art. 5) : • Licéité, loyauté ; la transparence érigée en principe • Limitation des finalités • Minimisation des données • Exactitude • Limitation de la conservation • Intégrité et confidentialité consacrés comme principe des bases légales identiques mais avec des conditions renforcées (art. 6) : • Le consentement (art. 7 et 8) : libre, spécifique, éclairée et univoque • L’intérêt légitime du responsable de traitement ou d’un tiers • … Règlement européen sur la protection des données de nouvelles informations à délivrer (art. 13 et 14) : • Les coordonnées du DPO (lorsqu’il existe) • La base juridique du traitement et, le cas échéant, les intérêts légitimes poursuivis • L’intention d’effectuer un transfert de données vers un pays tiers (déjà prévu par la Loi de 1978) et ses modalités • La durée de conservation des données (ou au moins les critères utilisés pour le faire) • L’existence des nouveaux droits pour la personne concernée (effacement, limitation, portabilité, retrait de son consentement) • Le droit d’introduire une réclamation auprès d’une autorité de contrôle • L’existence d’un profilage, son importance et ses conséquences • L’intention d’effectuer un traitement ultérieur, sa finalité et toute information pertinente • La source des données détenues, en cas de collecte indirecte De nouvelles précisions sur les conditions de délivrance (au moment où les données sont obtenues, …) et la présentation des informations Règlement européen sur la protection des données 20 LES ENJEUX ET LES DÉFIS • La définition d’une stratégie en matière de base légale de traitements de données • La mise en place d’une documentation • La mise en place de mesures pour assurer les principes de privacy by design et le privacy by default • Les modalités de délivrance des informations : rendre digeste une information pléthorique au moment où les données sont collectées • Le choix des sous-traitants et partenaires (not. sécurité) Règlement européen sur la protection des données LES PREMIÈRES ACTIONS À METTRE EN ŒUVRE SENSIBILISER, ÊTRE PROACTIF, RÉORGANISER ET DOCUMENTER Sensibiliser et mettre la protection des données personnelles au centre des projets : communiquer sur les grands principes et sur la nouvelle approche par les risques, identifier et inclure les acteurs clés dans les nouveaux processus, envisager la désignation d’un DPO, … Identifier/ Recenser les traitements effectués et les données traitées: les qualifier et identifier leur base juridique, … Mettre en place un registre des activités de traitement Formaliser et réviser les procédures d’exercice des droits Mettre à niveau et formaliser les mesures de sécurité Recenser les contrats existants ainsi que les processus contractuels et les réviser le cas échéant : qualifier les relations contractuelles, passer des contrats ECRITS, insérer les clauses obligatoires, … 22 Projet de Règlement E-privacy Une révision de la directive qui traite des cookies, de l’emailing … En cours d’adoption pour une mise en application envisagée le 25 mai 2018 Projet de règlement E-Privacy 23 Un projet de règlement européen publié mi-janvier par la Commission européenne qui souhaite une adoption rapide pour une mise en application au plus tard le 25 mai 2018 – comme le règlement européen sur la protection des données personnelles que contient le projet ? Projet de règlement E-Privacy 24 • Une généralisation du principe de l’opt-in pour le marketing direct envoyé par voie électronique. « toute forme de publicité, écrite ou orale, envoyée à un ou plusieurs utilisateurs identifiables de services de communications électroniques, incluant les l’utilisation des automates d’appel et services de communications avec ou sans intervention humaine, les emails, sms, etc. » Une définition large qui suscite l’inquiétude et ne tient pas compte du GDPR Un opt-in qui concerne aussi le BtoB Une exception au consentement préalable maintenue : l’email pour les produits et services analogue n’est pas soumis à opt-in Le démarchage téléphonique soumis à l’opt-in sauf disposition contraire des Etats membres Projet de règlement E-Privacy 25 • Une extension à tous les acteurs du principe de confidentialité des contenus et, fait nouveau, des metadatas échangés. Aujourd’hui ce principe concerne les seuls opérateurs communications électroniques (sous réserve Loi Rép. Numérique) de Cette interdiction est étendue aux métadatas émises par les terminaux (nb: la donnée de localisation qui est générée dans un contexte autre qu’un service de communication électronique ie autre que pour permettre l’accès ou la connexion à un réseau n’est pas considérée comme une métadonnée – à confirmer) Les possibilités de déroger par le consentement des utilisateurs sont limitées à des cas précis • Des règles sur les mesures de fréquentation de lieux publics • Une information visible à l’entrée de la zone couverte sur la finalité du traitement + son responsable + les mesures que peut prendre le visiteur pour minimiser la collecte ou la stopper (+ informations GDPR le cas échéant) Icônes?. RAPPEL : Mécanisme de la recommandation 26 (consentement implicite / cookies non exemptés) Bandeau d’information lisible et accessible qui informe sur les finalités et permet d’en savoir plus Si l’internaute souhaite en savoir plus Je ne dépose, …, pas de cookies Il accède à une page sur laquelle Je précise les finalités par type de cookies J’offre la possibilité d’accepter ou de refuser tout ou partie des cookies L’internaute navigue sans paramétrer : Je peux déposer, …, des cookies L’internaute paramètre : Je respecte ses choix sur les conséquences de la poursuite de la navigation L’internaute poursuit sa navigation Je peux déposer, …, des cookies Projet de règlement E-Privacy 27 • Un renforcement des règles sur les cookies et autres traceurs : Sont explicitement visées l’ensemble des techniques de tracking il est toujours exigé que les utilisateurs consentent à la lecture ou l’installation de cookies, etc., sauf pour les cookies techniques. A cette exception sont ajoutés certains cookies d’audience, comme cela était déjà admis en France. le consentement des internautes devra répondre aux critères posés par le GDPR il est réaffirmé que le navigateur peut permettre à l’internaute d’exprimer son consentement Navigateurs et cookies tiers (nouveau): les navigateurs devront proposer un paramétrage (acceptation ou refus) dédié aux cookies tiers. – Le projet de règlement qui avait fuité prévoyait un paramétrage de refus par défaut des cookies tiers. – Dans le projet rendu public, les utilisateurs devront obligatoirement procéder au paramétrage des cookies tiers pour poursuivre l’installation de leur navigateur, ou lors de leur mise à jour, et au plus tard le 25 août 2018. Cookies – dernières actualités de la CNIL Où en est-on en France ? Des contrôles étendus aux partenaires des éditeurs de sites, dont les annonceurs, en matière de publicité ciblée. « Ce sont tant les annonceurs et les régies que les autres partenaires qui doivent collectivement se mettre en conformité pour construire des modèles de publicité ciblée pérennes, c’està-dire respectueux des droits des personnes. » Communiqué de presse de la CNIL du 27 juillet 2016 Une réunion interprofessionnelle organisée par la CNIL en février La CNIL annonce un changement d’approche sur les responsabilités des uns et des autres dans la publicité digitale en matière de cookies Une publication sur le site de la CNIL dans les prochaines semaines