[data] PROJET « e-Privacy » #2 tracking et profilage [RGPD-GDPR spécial « communications électroniques »]

[mis à jour le 2 octobre 2017] STOP ! ON ARRETE TOUT ! Vous faites du tracking IP / cookie / fingerprinting / etc. ? ATTENTION !!! Les règles vont RADICALEMENT changer. C’est l’article 8 du projet de Règlement « e-Privacy ». La prospection directe, c’est l’article 16. « Tracking et profilage« , voila deux sujets qui méritaient une étude spécifique de ce projet e-Privacy, « vie privée et communications électroniques« .

La semaine dernière ? « e-Privacy #1 contenus et métadonnées« , c’était pour vous échauffer. Là on rentre dans le dur. « e-Privacy #2 tracking et profilage« … On sent déjà dans les projets de législation de l’UE que les Anglo-saxons (outre-Manche ou outre-Atlantique) sont plus absorbés par le Brexit que par leurs habituelles opérations de lobbying. La preuve ? Les principes sont simples. Et tout est dans le slider ci-dessous.



L’article 8 : terminal et tracking

Quand je vous dis que « les » principes sont simples, en fait, déjà j’exagère. Car de « principes », il n’y en a qu’un : L’INTERDICTION.

L’utilisation des capacités de traitement et/ou de stockage de TOUS les terminaux (ordinateur / smartphone / tablette / montre / etc.) EST INTERDITE.

EST AUSSI INTERDITE la collecte des données transmises / émises par un terminal (j’ai pas encore bien compris avec cette distinction dans quel cas un terminal envoie les data depuis un cookie / pixel / token / autre-techno-secrete...).

e-Privacy-PROJET #2 tracking et PROFILAGE Ledieu-Avocats GDPR RGPD

INTERDICTION sauf CONSENTEMENT PREALABLE

MAIS…. avec le consentement préalable de « l’utilisateur final » (celui qui dispose de « l’équipement terminal »), tout (re)devient possible.

Le consentement… Ne cherchez pas, la notion de consentement dans « e-Privacy » renvoie directement à la définition et au régime de la GDPR. C’est donc OPT-IN généralisé.

ET (en plus) rappel obligatoire « tous les 6 mois » du droit de retirer ce même consentement (art.9.3 e-Privacy).

Les sanctions ?

Le niveau de sanctions ? de zéro (estimation empirique), on passe au format « 10 millions / 2% chiffre d’affaires ». Vous voyez le verre à moitié vide ? Arrêtez de vous plaindre, ça aurait pu être l’autre format, « 20 millions / 4% chiffre d’affaires ». Maintenant, il va falloir attendre les premières décision des autorités de contrôle. A la date du 10 janvier 2017, le projet e-Privacy prévoyait d’unifier interprétation et contentieux de ce texte sous l’égide de l’autorité de contrôle des données personnelles. c’est ça… la CNIL ! (qui d’autre ?) 

Quelle autorité de contrôle pour tracking et profilage ?

De nouvelles compétences pour la CNIL ? Alors que la bataille de transposition de la GDPR dans la loi Informatique et Liberté bat son plein (on parle d’un projet de loi « Informatique et Libertés GDPR » d’ici fin 2017…) (comment ? non Monsieur, le Père Noël n’a rien à voir là-dedans). 

Alors si comme François, vous dirigez une société qui achète / commercialise des fichiers de données de navigation qui permettent de faire du profilage, cet « article 8 e-Privacy » est pour vous.

Ma suggestion ? 1) vous lisez attentivement les slides  et 2) vous démarrez (rapidement) vos opérations de re-qualification de vos bases de données. Car le prix de l’opération d’emailing va baisser d’un coup… au début… le temps que tout le monde (professionnels comme users) s’habitue aux nouvelles règles.

Bon, on savait que cela allait arriver, mais (franchement) pas aussi vite que ça… 

L’article 16 : prospection (commerciale) directe et « coordonnées électroniques »

e-Privacy-PROJET #2 tracking et PROFILAGE Ledieu-Avocats GDPR RGPDSoyons honnête tout de suite. Si apparemment, le projet d’article 8 est le résultat d’une volonté politique de l’UE et doit être pris comme une version quasi-définitive de ce qui va se passer, restons prudent pour l’article 16 « Communications non sollicitées« .

e-Privacy-PROJET #2 tracking et PROFILAGE Ledieu-Avocats GDPR RGPD

L’article 16.2 porte sur les « coordonnées électroniques »

Dans sa rédaction actuelle, cet article… et puis non, tiens, je cite en version intégrale :

Lorsque, dans le respect [de la GDPR], une personne physique ou morale a, dans le cadre de la vente d’un produit ou d’un service, obtenu de son client ses coordonnées électroniques, ladite personne physique ou morale peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues qu’elle-même fournit uniquement si le client se voit donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation. Le droit d’opposition est donné au moment où les coordonnées sont recueillies et lors de l’envoi de chaque message.

Lisez bien. L’article n’est – dans sa rédaction actuelle – pas cantonné aux fournisseurs de Réseau / Service de communication électronique. Il est écrit « une personne physique ou morale« . C’est donc une condition supplémentaire qui s’ajoute à la GDPR !  

J’arrete là sur l’article 16. J’attends la version votée pour vous dire ce que j’en pense vraiment…

e-Privacy-PROJET #2 tracking et PROFILAGE Ledieu-Avocats GDPR RGPD

RAPPEL sur le calendrier d’adoption de « e-Privacy »

  • 1er projet : 10 janvier 2017
  • vote « espéré » [par la Commission] au Parlement UE : 12 octobre 2017 (dans 10 jours !!!)
  • mise en application effective : 25 mai 2018

e-privacy, tracking et profilage : la mort du business de la data ?

Si vous êtes un pro de la pub en ligne ou de la vente de fichiers, il va sans doute être nécessaire de repenser (une partie de) votre activité.

Mais franchement, vu coté internaute, il était temps. Parce que c’était devenu porte-nawak comme dirait mes ados de fils.

Oui, évidemment, les grands méchants visés sont (au hasard – merci Monsieur Snowden) outre Atlantiques. Mais même en version bleu-blanc-rouge, il y a quelques opérateurs qui faisaient vraiment n’importe quoi. Heureusement que je suis astreint au secret professionnel.

—> A SUIVRE : projet « e-Privacy » #3 SPECIAL pub en ligne

—> c’est pour la semaine prochaine… c’est presque prêt…

e-Privacy-PROJET #2 tracking et PROFILAGE Ledieu-Avocats GDPR RGPD