GDPR et Règlement ePrivacy : les impacts sur le monde du digital

Aïda El Malti

Au vu de la croissance exponentielle des activités digitales et des problématiques récentes liées à la protection des données, la Commission européenne a entrepris de mettre à jour et restructurer les aspects concernés du cadre législatif européen. Deux règlements, le General Data Protection Regulation (GDPR) et le Règlement ePrivacy, attirent notamment l’attention des acteurs du marché de la publicité digitale, et seront à l’origine de changements majeurs sur ce dernier. 

 

GDPR (General Data Protection Regulation)

 

Le Règlement général sur la protection des données vise à remplacer la directive sur la protection des données personnelles (entrée en application en 1995). Il a été adopté le 27 avril 2016, et entrera en application le 25 mai 2018 après une période de transition de 2 ans. A l’inverse d’une directive, qui doit être transposée en autant de lois nationales, un règlement est applicable de la même manière dans tous les Etats membres. 

Il répond à deux objectifs :

  • Renforcer et unifier les lois en Europe sur la protection des données personnelles
  • Simplifier et unifier l’environnement législatif à ce sujet pour les entreprises ayant des activités en Europe

 

Quels changements ?

Toutes les entreprises qui traitent les données de résidents de l’UE sont concernées, peu importe où elles se trouvent. En l’occurrence, les entreprises se trouvant à l’extérieur de l’UE devront nommer un représentant sur place. 

Le changement majeur qu’implique le GDPR est probablement la redéfinition du terme « données personnelles ». Tous les cookies et moyens d’identifier un individu, ou moyens de traiter un individu comme unique sans l’identifier sont maintenant considérés comme des données personnelles. Les données pseudonymisées (qui font l’objet d’une anonymisation réversible) en font donc partie. Cela concerne ainsi la quasi-totalité des cookies publicitaires ou utilisés à des fins de ciblage, et une partie des cookies utilisés pour la web analyse. 

La demande d’accès aux données devra être faite de façon claire et facilement accessible, et obligatoirement suivie des usages qui seront faits des données collectées. Il doit en outre être aussi facile d’annuler son consentement que de le donner. L’utilisateur pourra refuser que ses données soient utilisées à des fins de marketing, et notamment de profiling, défini par le GDPR comme tout processus automatisé visant à analyser n’importe quel aspect d’un individu (préférences, comportement, localisation géographique). Cela met donc une barrière significative aux possibilités de marketing ciblé. 

Le non-respect des règles imposées par le GDPR entraîne pour les entreprises des amendes pouvant aller jusqu’à 4% du chiffre d’affaires global, ou 20M€ (la plus haute somme). 

 

Quelles conséquences ?

Le paysage digital devra donc évoluer en conséquence, et des fusions et acquisitions seraient à prévoir. En effet, les entreprises « tech » pourraient chercher à se rapprocher des éditeurs, afin de tirer parti des données first party issues de la relation directe qu’ils entretiennent avec leurs visiteurs. 

En parallèle, au vu du montant des amendes applicables en cas de manquement au règlement, les éditeurs pourront demander une lourde compensation à leurs partenaires « martech » (marketing technology) et « adtech » (advertising technology) s’ils ne respectent pas les critères de conformité. 

Ainsi, il est temps pour les fournisseurs de solutions digitales reposant sur la collecte de données de se préparer à ce changement : cela devra passer par une revue complète du type de données collectées, des moyens de collecte et de la sécurité de leur stockage. De même, ils devront s’assurer des usages qui en seront faits, et des autres entités y ayant accès. En somme, la mise en place d’une vraie stratégie de conformité. 

 

Règlement ePrivacy 

 

La proposition de règlement ePrivacy a été rédigée par la Commission européenne, et fait actuellement l’objet de discussions. Il devrait entrer en application en même temps que le GDPR. 

Il répond à deux objectifs :

  • Aligner la réglementation entre les acteurs historiques des télécommunications, et les fournisseurs de services de communication électronique
  • Unifier la législation en matière de communications avec le nouveau cadre législatif européen issu du GDPR

 

Quels changements ?

Consentement aux cookies 

La proposition de règlement ePrivacy marque ainsi la fin des bannières de consentement aux cookies, apparaissant dès qu’un utilisateur visite un site web. Le consentement sera désormais obtenu au travers des paramètres du navigateur internet de l’utilisateur. Le Règlement indique que les navigateurs devront fournir à leurs utilisateurs une gamme de paramètres plus ou moins restrictifs, allant de l’acceptation de tous les cookies au refus de tous les cookies, et qu’ils devront obtenir de leurs utilisateurs une action claire et affirmative. Ces derniers pourront en outre modifier ces paramètres à tout moment. 

Données de contenu et métadonnées de communications 

Les données de communication électroniques seront considérées comme des données confidentielles et, à ce titre, ne pourront être utilisées sans le consentement de l’utilisateur. Les opérateurs de télécommunications historiques et fournisseurs de services de communication électronique pourront désormais demander l’accès non seulement aux métadonnées (heure et lieu des communications par exemple), mais aussi aux données de contenu des communications de leurs utilisateurs. Ils pourront par la suite utiliser ces données pour proposer d’autres services.

 

Quelles conséquences ?

Les changements seront très importants dans le secteur de l’adtech et de la publicité digitale en général ; si le règlement est mis en place en l’état, il faudra s’attendre à une véritable disruption des modèles économiques de publicité digitale. 

En outre, dans la mesure où la proposition de règlement concerne les cookies tiers et donc l’échange de données entre partenaires, cela pose un autre problème : les sites reposant sur l’identification volontaire de leurs utilisateurs disposent désormais d’un avantage non négligeable. Des acteurs comme Facebook et Google pourront ainsi continuer de proposer des publicités ciblées à leurs utilisateurs (chacun de ces acteurs comptant plus d’un milliards d’utilisateurs actifs quotidiennement).

Enfin, bien que la proposition de règlement annonce la fin des bannières d’opt-in, les sites web pourront toujours afficher des bannières suggérant à l’utilisateur de reconsidérer ses choix de cookies. La navigation sera alors d’autant plus perturbée.

Ainsi, bien que nécessaires, ces mises à jour de la législation européenne pourraient modifier profondément le paysage de la publicité digitale, et notamment les rapports de force entre ses acteurs. La protection des données des utilisateurs est un sujet sensible sur lequel il convient de se pencher sérieusement, mais les intérêts de toutes les parties prenantes doivent être considérés.