GDPR :
Les implications pour l'industrie du marketing mobile
GDPR et ses implications pour le secteur de la publicité mobile
1. Ce qu'il faut savoir sur le GDPR
La protection des données est entrée dans une ère de changements sans précédent. En décembre 2015, après plus de trois ans d'âpres négociations et de multiples versions provisoires, trois grandes institutions de l'UE - le Parlement européen, le Conseil de l'Union européenne et la Commission européenne - se sont mises d'accord sur le texte du règlement général sur la protection des données (RGPD).
Le règlement entre en vigueur le 25 mai 2018 et remplace la directive sur la protection des données qui a été la base de la protection des données européennes pendant plus de deux décennies.
Voici les principales raisons d'être du GDPR :
1. Changement révolutionnaire dans la manière dont nous utilisons et partageons l'information
La directive sur la protection des données a été adoptée en 1995, à une époque où l'internet n'était pas encore très répandu et où les gens n'avaient guère de téléphones portables. La directive n'étant plus adaptée, le GDPR a été conçu pour garantir la sécurité des données personnelles dans notre monde moderne et technologique.
2. Nombre croissant de violations de données très médiatisées
Après que des entreprises technologiques telles qu'Uber et Yahoo ont subi des violations de données à grande échelle affectant plus de 3 milliards de comptes d'utilisateurs, les consommateurs et les régulateurs sont de plus en plus préoccupés par la gestion des données personnelles.
3. Nécessité évidente de sanctions plus importantes
Les cas célèbres où de puissants géants de la technologie ont enfreint la loi (par exemple, Facebook a utilisé un consentement général pour fusionner les données de Whatsapp) ont mis en évidence l'insignifiance des amendes existantes en cas de violation de la réglementation en matière de protection de la vie privée, ce qui justifie encore davantage la nécessité d'une nouvelle législation.
En introduisant des exigences de conformité plus strictes en matière de protection des données, le GDPR change la donne pour les entreprises de multiples secteurs industriels. Il n'est pas surprenant que la nouvelle réglementation ait également un impact critique sur l'industrie du marketing mobile. Les spécialistes du marketing mobile, les éditeurs et les entreprises technologiques qui les soutiennent - toutes les entreprises opérant dans le secteur - doivent s'assurer de leur conformité au GDPR lorsqu'il entrera en vigueur en mai de cette année.
Le non-respect de ces règles a un prix : les amendes peuvent atteindre 20 millions d'euros ou 4 % des recettes brutes annuelles, le montant le plus élevé étant retenu.
L'heure tourne et, à quelques semaines de l'échéance, les entreprises devraient déjà avoir réalisé une évaluation de l'impact sur la protection des données et être en bonne voie pour combler les éventuelles lacunes. Si votre entreprise opère dans le domaine du marketing mobile, ce guide est conçu pour vous aider à agir maintenant, que vous commenciez à peine à vous préparer ou que vous ayez déjà coché les dernières cases de votre liste de contrôle.
GDPR
2. Ce que le GDPR signifie
pour l'industrie du marketing mobile
Bien que le GDPR pose certains défis à la communauté mobile, il apporte également des changements positifs en harmonisant la loi dans les 28 États membres de l'UE et en rendant le paysage complexe de la protection des données plus facile à naviguer. Plus important encore, il clarifie la loi sur la protection des données en éliminant les "zones grises" qui prévalaient avant le GDPR.
La liste suivante présente les changements les plus importants apportés par le GDPR :
Définition des données à caractère personnel
La définition est beaucoup plus large en vertu du GDPR et inclut des types de données qui n'étaient pas classés auparavant comme des données personnelles. Le GDPR définit clairement que tous les identifiants d'appareils, y compris l'AAID (Android Advertising ID), l'IDFA (Apple ID for Advertising) ainsi que les Cookie ID et les données de localisation sont considérés comme des données à caractère personnel.
Implications pour le marketing mobile
Toute information relative à une personne physique identifiée ou identifiable devient une donnée à caractère personnel et doit être traitée comme telle (y compris les valeurs hachées).
Nouveaux droits
Le GDPR introduit de nouveaux droits pour les consommateurs. Le droit à l'effacement permet aux individus de demander aux responsables du traitement des données d'effacer toutes les données à caractère personnel dans un délai raisonnable. Le droit à la portabilité des données permet aux individus de demander que leurs données soient "portées" d'une entreprise à une autre. Le droit d'accès permet aux utilisateurs d'accéder à leurs données personnelles pour vérifier la légalité du traitement.
Implications pour le marketing mobile
Les entreprises doivent mettre en place des procédures permettant aux clients de faire des demandes d'exclusion à tout moment et veiller à ce qu'il y soit donné suite. Les bases de données de consentement doivent permettre de savoir quand le consentement a été donné et s'il a été retiré. Les systèmes doivent permettre d'effectuer des retraits et des suppressions rapides et complets.
La protection de la vie privée dès la conception
Les données doivent être contrôlées et traitées avec des mesures de sécurité clairement définies. La protection de la vie privée doit être intégrée dès le départ dans les nouveaux produits et les nouvelles fonctionnalités, y compris les mesures techniques et organisationnelles appropriées, afin de répondre à toutes les exigences du GDPR.
Implications pour le marketing mobile
Les entreprises ont l'obligation légale de minimiser la quantité de données ; celles-ci ne doivent pas être conservées plus longtemps que nécessaire. La pseudonymisation doit être appliquée pour réduire les risques liés au traitement des données.
Gestion des consentements
Le traitement des données à caractère personnel nécessite un fondement juridique solide en vertu du GDPR, par exemple le consentement explicite d'un utilisateur ou, dans certains cas, l'intérêt légitime du traitement des données. Demander le consentement, c'est donner le contrôle aux consommateurs et leur offrir un véritable choix. Le consentement de l'utilisateur doit être rédigé dans un langage simple et fournir des détails tels que les finalités du traitement, les types de données qui seront traitées et les responsables du traitement des données qui traiteront les données.
Implications pour le marketing mobile
Si le consentement est choisi comme base juridique pour le traitement des données, les entreprises doivent prouver qu'un client a donné son consentement explicite à la collecte de données. Les consentements doivent être rédigés en langage clair, sans jargon juridique, être documentés et disponibles tout au long de la chaîne des responsables du traitement des données et des sous-traitants.
Pour mieux documenter et gérer le consentement des utilisateurs, il existe des solutions spécialisées de gestion des consentements . Ces solutions soulagent les responsables du traitement des données en répondant aux exigences du site en matière d'acceptation et de refus transparents et en fournissant une documentation détaillée des cas spécifiques pour les utilisateurs individuels.
L'IAB Europe a lancé une solution de gestion des consentements à l'échelle du secteur. Plus d'informations sur http://advertisingconsent.eu/.
3. Comprendre votre rôle dans la chaîne de traitement des données
La capacité à identifier correctement votre rôle - et celui de vos partenaires - dans la chaîne de traitement des données a un impact considérable sur la sécurité des données.
En vertu du GDPR, tant les responsables du traitement des données que les sous-traitants sont tenus de gérer les données personnelles en toute sécurité et de signaler les violations de données. Les responsables du traitement des données ont cependant plus d'options pour travailler avec les données et, par conséquent, ont plus de responsabilités en ce qui concerne la documentation des processus internes, l'évaluation de l'impact sur la vie privée, les options de refus et les audits par des tiers.
Avec autant d'acteurs et d'intermédiaires dans l'espace complexe et en constante évolution du marketing mobile, il peut parfois être difficile d'attribuer les bons rôles aux entreprises.
Pour simplifier, voici la décomposition de la chaîne de traitement des données :
Personne concernée : La personne qui fait l'objet de données à caractère personnel.
Exemple tiré de l'industrie du marketing mobile : Utilisateur de l'application.
Contrôleur de données : L'entreprise qui détermine les finalités et la manière dont les données à caractère personnel sont traitées. Le responsable du traitement peut fournir des données à d'autres responsables du traitement ainsi qu'à des sous-traitants.
Exemple du secteur du marketing mobile : Éditeur d'applications, annonceur, SSP, DMP, DSP.
Responsable du traitement des données : L'entreprise qui traite les données pour le compte d'un responsable du traitement. Le sous-traitant ne peut fournir des données qu'à des sous-traitants secondaires, et jamais aux responsables du traitement.
Exemple tiré du secteur du marketing mobile : Société d'analyse qui agit strictement pour le compte d'un responsable du traitement des données.
Les responsables du traitement des données et les sous-traitants tout au long de la chaîne doivent comprendre la source des données utilisées et s'assurer que leurs fournisseurs ont mis en place des mécanismes de consentement appropriés et qu'ils conservent l'enregistrement du consentement.
Données
Données de 1ère partie
Définition
Les données sont collectées par le propriétaire des données lui-même (par exemple, par le biais de sa propre application ou SDK).
Implications pour l'industrie du marketing mobile
Les propriétaires de données de première partie (par exemple, les éditeurs d'applications) bénéficient de leur relation directe avec le consommateur et peuvent obtenir un consentement explicite.
Données de tiers
Les données sont fournies par des sociétés tierces et des agrégateurs.
Pour les entreprises tierces qui recueillent et documentent le consentement approprié.
Données de 1ère et 3ème parties
4. Votre organisation est-elle prête pour le GDPR ?
Alors que le GDPR apporte le plus grand changement dans la protection des données en Europe depuis des décennies, il existe de nombreux cadres qui fournissent des étapes détaillées à suivre afin de s'y préparer pleinement. Il est à espérer que votre organisation a déjà pris des mesures énergiques pour se conformer au nouveau règlement. Toutefois, si vous commencez seulement à vous préparer à ce stade, la meilleure chose à faire est d'obtenir une aide professionnelle dès que possible.
Quelle que soit la phase de préparation dans laquelle se trouve actuellement votre organisation, il est bon de procéder à une évaluation préventive de son état.
Les questions les plus importantes que vous devez vous poser sont les suivantes :
Délégué à la protection des données
Délégué à la protection des données (DPD)
Vous traitez des données clients à grande échelle et avez besoin d'une personne dédiée pour contrôler votre programme de conformité GDPR ?
Le GDPR exige la nomination d'un DPD pour les organisations qui traitent de grandes quantités de données personnelles sensibles. Les principales tâches du DPD comprennent la consultation, le contrôle de la conformité, la formation du personnel et les audits internes.
Notification obligatoire des violations
En cas de violation des données, seriez-vous en mesure de notifier les autorités chargées de la protection des données dans les 72 heures ?
Une violation est définie comme un manquement à la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès à ces données. Les violations doivent être signalées aux autorités dans les 72 heures.
Notification obligatoire des violations
La protection de la vie privée dès la conception
La protection de la vie privée dès la conception
Intégrez-vous les exigences en matière de protection des données dans le développement de vos processus d'entreprise et de vos nouveaux produits ?
Le respect de la vie privée devrait être intégré dès le départ dans les nouveaux systèmes, produits et fonctionnalités. Par défaut, les paramètres de protection de la vie privée doivent être définis à un niveau élevé.
Nouveaux droits
Êtes-vous prêt à respecter les nouveaux droits des consommateurs en matière d'accès, d'effacement et de transfert de leurs données personnelles ?
Le GDPR permet aux individus d'accéder à leurs données pour vérifier la légalité du traitement, d'obtenir, de réutiliser ou de supprimer leurs données personnelles, et de faire cesser la distribution de leurs données.
GDPR Nouveaux droits
Champ d'application élargi du GDPR
Champ d'application élargi
Comprenez-vous votre rôle en tant que sous-traitant ou responsable du traitement des données ? Traitez-vous les données de citoyens de l'UE ?
Le GDPR s'applique à tous les responsables du traitement des données et à tous les sous-traitants établis dans l'UE, ainsi qu'à toutes les organisations situées en dehors de l'UE qui comptent des citoyens européens parmi leurs clients. La législation a un impact sur toute entreprise susceptible d'entrer en contact avec un citoyen européen, y compris les entreprises basées aux États-Unis.
Responsabilité
Êtes-vous prêt à prouver la conformité de votre organisation aux exigences du GDPR ?
À la demande des autorités chargées de la protection des données, les entreprises doivent fournir une documentation sur leurs politiques, procédures et opérations de traitement des données.
Responsabilité en matière de GDPR
5. Liste de contrôle pour les éditeurs mobiles
L'un des principaux objectifs du GDPR est de permettre aux individus de mieux contrôler leurs données. Grâce à leur accès direct aux consommateurs, les éditeurs de téléphonie mobile sont particulièrement responsables de ce contrôle. Parmi leurs autres responsabilités, les éditeurs doivent informer clairement les personnes sur les données collectées et sur ce qu'il adviendra de ces données à partir du moment où elles sont soumises.
Le GDPR apporte des réglementations strictes et les éditeurs doivent prendre des mesures pour évaluer de manière critique leurs propres pratiques de traitement des données et celles de leurs partenaires - et agir en conséquence.
Si vous êtes du côté de l'offre de l'écosystème du marketing mobile et que vous monétisez vos données, voici une liste de contrôle des tâches liées au GDPR que vous devez accomplir pour démontrer une conformité totale :
Déterminer votre rôle
Révision et renégociation des contrats
Mise à jour de la politique de confidentialité et des conditions d'utilisation
Convenir de la base juridique du traitement des données
Gérer le consentement
Prévenir les fuites de données
Notifier les violations
Bien qu'il y ait beaucoup de travail préparatoire, le GDPR est un développement positif pour les éditeurs mobiles qui sont en bonne position pour obtenir le consentement. Le règlement oblige les éditeurs à reprendre le contrôle de ce qui se passe sur leurs applications et sites web mobiles, tout en renforçant le respect de leur public. Ces évolutions conduisent à leur tour à une augmentation de la confiance entre les utilisateurs et les éditeurs, ce qui améliore encore la qualité des données collectées.
Liste de contrôle pour les éditeurs mobiles
Déterminer votre rôle
Comme nous l'avons vu plus haut, il existe deux types différents d'entités en contact avec les données : les responsables du traitement, qui déterminent comment et pourquoi les données à caractère personnel doivent être traitées, et les sous-traitants, qui effectuent le traitement proprement dit pour le compte des responsables du traitement. Les éditeurs de services mobiles sont généralement des responsables du traitement.
Révision et renégociation des contrats
Les éditeurs mobiles devraient mettre à jour la plupart de leurs accords avec des fournisseurs tiers, car le GDPR apporte de nouvelles exigences et considérations qui doivent être codifiées, notamment :
Définitions (par exemple, la nouvelle définition plus large des données à caractère personnel)
Notifications (les vendeurs doivent notifier les contrôleurs dans les meilleurs délais en cas de violation)
Collaboration (les fournisseurs doivent permettre aux responsables du traitement de respecter les droits des personnes concernées)
Sécurité (les vendeurs doivent garantir que le traitement est sécurisé et conforme)
Tenue de registres (les sous-traitants doivent tenir des registres de tout traitement de données effectué sur le
pour le compte du responsable du traitement)
Mise à jour de la politique de confidentialité et des conditions d'utilisation
Les éditeurs mobiles doivent s'assurer que ces documents sont à jour et qu'ils couvrent toutes leurs obligations légales. En outre, le GDPR exige des éditeurs qu'ils expliquent la politique de confidentialité en langage clair et qu'ils la rendent facilement accessible et visible avant de collecter des données personnelles (y compris des cookies ou des identifiants publicitaires mobiles).
Convenir de la base juridique du traitement des données
Les éditeurs mobiles doivent disposer d'une base juridique appropriée, telle que le consentement ou l'intérêt légitime, pour collecter, utiliser et transférer des données à caractère personnel. Le consentement doit être donné sous une forme compréhensible et facilement accessible. Les éditeurs doivent indiquer clairement quelles données ils collectent, ce qu'ils prévoient d'en faire et énumérer explicitement tous les tiers qui utiliseront les données.
Gérer le consentement
Les éditeurs de services mobiles doivent conserver une trace du consentement et donner à l'individu la possibilité de révoquer son consentement à tout moment, ainsi que d'accéder, de corriger ou d'effacer complètement toutes les données que les éditeurs détiennent à son sujet. Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils peuvent le donner.
Prévenir les fuites de données
Le consentement n'a pas de sens si la protection des données n'est pas mise en œuvre : à moins que les éditeurs de téléphonie mobile n'empêchent toute fuite de données, un visiteur qui donne son consentement ne peut pas savoir où ses données peuvent se retrouver. Les éditeurs doivent connaître leur technologie et les maillons faibles potentiels - et empêcher les fuites de données.
Notifier les violations
En cas de violation d'une base de données, les éditeurs de téléphonie mobile doivent informer les autorités dans les 72 heures suivant la découverte de la fuite.
6. Liste de contrôle pour les annonceurs mobiles
Nouveaux droits pour les consommateurs, nouvelles limites temporelles pour de nombreuses demandes, nouvelle étendue des responsabilités - il ne fait aucun doute que le GDPR pose des défis aux annonceurs mobiles, qu'ils appartiennent ou non à des secteurs déjà très réglementés.
Les annonceurs doivent prendre des mesures pour évaluer de manière critique leurs propres pratiques de traitement des données et celles de leurs partenaires - et agir en conséquence. Si vous êtes du côté de la demande dans l'écosystème du marketing mobile, voici une liste de contrôle des tâches liées au GDPR que vous devriez accomplir pour démontrer votre conformité totale :
Déterminer votre rôle
Révision et mise à jour des contrats
Connaître ses fournisseurs
Obtenir le consentement
Gérer le consentement
Comprendre les intérêts légitimes
Mise à jour de la politique de confidentialité
Si les préparatifs en vue du GDPR peuvent s'avérer difficiles, cette nouvelle législation ne doit pas être considérée comme un recul pour les spécialistes du marketing. En fait, c'est une bonne occasion de créer des campagnes de marketing mobile ciblées pour atteindre les personnes qui sont engagées avec votre marque.
Grâce au consentement explicite, le GDPR entraînera une augmentation de la qualité des données. Les spécialistes du marketing avisés devraient en profiter pour approfondir les besoins de leurs prospects et de leurs clients, en remplaçant l'approche traditionnelle "unique" du marketing mobile.
Liste de contrôle GDPR
Liste de contrôle pour les annonceurs mobiles
Déterminer votre rôle
Le responsable du traitement est la personne qui détermine les moyens et les finalités du traitement des données à caractère personnel, comme les données à collecter et les publics à cibler. Le sous-traitant, quant à lui, traite les données pour le compte du responsable du traitement. Bien que certains croisements soient possibles, dans la plupart des cas, cela signifie que les annonceurs sont des contrôleurs.
Révision et mise à jour des contrats
Les spécialistes du marketing doivent revoir et mettre à jour les accords interentreprises et les contrats de traitement des données. Les versions actualisées des contrats doivent être modifiées pour inclure les nouvelles clauses liées au GDPR et pour s'assurer que tous les services concernés sont pleinement conformes.
Connaître ses fournisseurs
Les fournisseurs jouent un rôle crucial en déterminant si les professionnels du marketing restent en conformité ou s'ils risquent d'enfreindre les règles. C'est pourquoi les professionnels du marketing doivent clarifier les choses avec chaque fournisseur :
Quelles données personnelles traitent-ils ? De quelle manière ? Pourquoi ? Comment minimisent-ils l'utilisation de ces données ?
S'agit-il d'un processeur ou d'un contrôleur ?
Sur quelle base juridique les données sont-elles traitées ?
Comment sont-ils préparés à gérer le consentement ?
Comment gèrent-ils les droits des personnes concernées ?
Comment gèrent-ils la sécurité et les transferts internationaux ?
Obtenir le consentement
Pour obtenir le consentement des personnes concernées, les annonceurs devront leur expliquer clairement pourquoi ils collectent des données, comment elles seront utilisées et qui les utilisera. Il convient d'utiliser un langage simple et facile à comprendre sur la base légale du traitement des données. Le droit de révoquer facilement le consentement doit être offert.
Gérer le consentement
Il est important de veiller à ce que les systèmes puissent enregistrer le consentement et les objections ultérieures liées aux objectifs spécifiques énoncés au moment de la collecte du consentement.
Comprendre les intérêts légitimes
Le GDPR autorise le marketing direct en tant qu'activité d'intérêt légitime si certaines conditions et un test de "balance des intérêts" (qui met en balance les intérêts propres des spécialistes du marketing et les droits de la personne concernée) sont remplis. Si l'intérêt légitime est choisi comme base juridique pour le traitement des données au lieu du consentement, les responsables du marketing doivent indiquer comment ils respectent la protection des droits des personnes et des attentes raisonnables.
Mise à jour de la politique de confidentialité
Le GDPR exige des avis de confidentialité plus détaillés, y compris la durée de conservation des données personnelles, les détails de tout partage de données personnelles avec des tiers, une explication de toute activité de profilage entreprise, comment les individus peuvent exercer leurs droits, où envoyer les plaintes et si les pays non membres de l'UE traiteront les données personnelles.
7. Targetoo est votre partenaire de confiance dans le domaine du marketing mobile
Le GDPR n'est pas conçu pour empêcher les spécialistes du marketing de communiquer avec leurs clients, pas plus qu'il n'empêche les éditeurs de poursuivre leurs activités de monétisation des données. L'objectif est de donner plus de contrôle aux utilisateurs, ce qui peut se transformer en avantage concurrentiel lorsque l'on travaille avec des partenaires crédibles et soigneusement sélectionnés.
Chez Targetoo, nous avons créé une place de marché neutre et transparente pour permettre aux entreprises de prendre de meilleures décisions en matière de marketing. Fondée et basée en Allemagne, Targetoo a été exposée à des réglementations très strictes en matière de protection de la vie privée dès les premiers jours de sa création, et a dû s'y conformer. Nous avons donc déjà coché les cases correspondant à la plupart des exigences du GDPR :
Targetoo...
...a intégré le concept de "Privacy by Design" dans son développement depuis le premier jour ...a défini des "mesures techniques et organisationnelles" dans le cadre des accords standards de traitement des données
...a développé une méthode d'intégration avec des partenaires (Pre-bid Enrichment) qui permet la suppression directe des données du côté du DSP et du SSP (aucune donnée brute n'est envoyée aux partenaires).
...exige contractuellement de tous les partenaires de données qu'ils obtiennent et fournissent la preuve du consentement de tous les utilisateurs
...dispose d'un délégué à la protection des données externe nommé depuis 2018
...offre aux utilisateurs une option de retrait sur son site web pour permettre la suppression des données et l'arrêt de la distribution.
...participe activement à l'initiative de l'IAB en faveur d'une solution de gestion des consentements afin de permettre l'établissement de normes à l'échelle du secteur et d'une liste transparente de fournisseurs.
Targetoo joue le rôle de contrôleur des données.
En plus d'offrir une plateforme de gestion d'audience en libre-service qui permet aux propriétaires de données de monétiser leurs données et aux acheteurs de données de cibler les bonnes audiences dans leurs campagnes, Targetoo recueille et traite également des données pour des segments d'audience dérivés du comportement de localisation ainsi que pour la Targetoo Data Alliance.
En tant que responsable du traitement des données, Targetoo se conforme à toutes les exigences du GDPR et sert de partenaire de confiance pour le ciblage de l'audience ainsi que pour la monétisation des données.
8. Conclusion
Alors que l'approche de la date limite pour se conformer au GDPR occupe l'industrie du marketing mobile, il est important de prendre du recul et de reconnaître la valeur que le nouveau règlement apporte. Le règlement général sur la protection des données vise à rendre aux citoyens européens le contrôle de leurs données personnelles et à simplifier l'environnement réglementaire dans lequel sont menées les activités internationales.
Pour rester en conformité, les entreprises devraient déjà avoir bien avancé dans la réparation des lacunes identifiées lors de leurs évaluations internes de la confidentialité des données et de l'examen des contrats. Toutefois, la réparation de ces lacunes ne doit pas être considérée comme une simple responsabilité de conformité. L'utilisation éthique des données établit la confiance entre les entreprises et les consommateurs, ce qui renforce notre économie fondée sur les données. Les entreprises intelligentes, tant du côté de l'offre que de la demande de l'écosystème du marketing mobile, devraient transformer les activités de conformité en une opportunité de rester en tête de la concurrence et de renforcer leurs relations avec les clients.
GDPR - Conclusion de Targetoo
Clause de non-responsabilité : Les informations et les recommandations contenues dans ce livre blanc sont de nature générale et ne constituent pas un avis juridique. Veuillez consulter vos propres professionnels du droit si vous souhaitez obtenir des conseils sur les interprétations et les exigences spécifiques du GDPR.
