Conférence Confidentialité des données

CONFIDENTIALITÉ DES DONNÉES : COMMENT VOUS ASSURER DE LA LÉGALITÉ DE VOS ACTIONS

MARKETING ?

mercredi 28 janvier 2015

L’AVOCAT & LE GESTIONNAIRE DE PRODUIT

SURVOL DE LA PRÉSENTATION

2

VIE PRIVÉE & LE

MARKETING

PUSH PULL INTRO

CADRE DE GESTION

VIDÉO

CONCEPT

1 2

3 FUTUR

4

8:30 – 10:30 •  LE 101 DE LA VIE PRIVÉE •  LE CADRE MARKETING & LÉGAL •  LES MEILLEURES PRATIQUES 10:30 – 10:45 •  PAUSE 10:45 – 12:00 •  LE CADRE DE GESTION •  LES CHANTIERS FUTURS

QUESTIONS INTERACTIVES 1

3

MIEUX VOUS CONNAITRE


4

EXTRAIT VIDEO 1

•  https://www.youtube.com/watch?v=_Cty7ctycsI - DATA BROKERS – 60 MINUTES – CBS

•  http://vimeo.com/33076314 PARKS & RECREATION – NBC – SEASON 04 – EPISODE 09 5

ABONDANCE DE SOURCES ET DE BUZZ WORDS

LES NOUVELLES & LA VIE PRIVÉE 1

Fingerprinting https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html

FINGERPRINTING

COOKIES

CASL – LCAP LOI C28

ADCHOICES

DATA IS BIG

APPLE FACEBOOK GOOGLE

6

CHOIX DE PUB DATA BROKERS

FRIGIDAIRES & MONTRES INTELLIGENTES

EDWARD SNOWDEN

DNT DO-NOT-TRACK

ABONDANCE DE SOURCES ET DE BUZZ WORDS 1 LES NOUVELLES & LA VIE PRIVÉE

http://www.theglobeandmail.com/report-on-business/industry-news/marketing/watchdog-to-study-privacy-compliance-among-canadian-advertisers/article22445491/

Au Canada ? LES COOKIES 2

https://www.priv.gc.ca/information/guide/2011/gl_ba_1112_e.asp

Privacy and Online Behavioural Advertising

« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER** LA VIE PRIVÉE DU POINT DE VUE MARKETING 1

PUSH PULL

DÉFINITIONS & PRATIQUES

L a s t r a t é g i e “ P u l l ” c o n s i s t e à a t t i r e r u n c o n s o m m a t e u r s p é c i fi q u e v e r s u n p r o d u i t o u u n s e r v i c e .

JE CONNAIS LE CONSOMMATEUR

JE CONNAIS L’INTENTION D’UN CONSOMMATEUR

L a s t r a t é g i e " P u s h " v i s e à p o u s s e r l e p r o d u i t v e r s l e c o n s o m m a t e u r

•  STRATÉGIE COURRIEL, INFOLETTRE

•  ENVIRONNEMENTS PERSONNALISÉS (WEB, MOBILE)

•  NOTIFICATION (PUSH)

•  MARKETING COMPORTEMENTAL (BEHAVIOURAL MARKETING)

•  (RETARGETING) RECIBLAGE •  PUBLICITÉ CIBLÉE •  UTILISATION DES COOKIES

(TÉMOINS)

**http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/

9

« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**

LA VIE PRIVÉE DU POINT DE VUE MARKETING 1

PUSH PULL

CADRE DE LA VIE PRIVÉE

LE PROGRAMME CANADIEN D’AUTORÉGLEMENTATION POUR LA PUBLICITÉ COMPORTEMENTALE EN LIGNE

LA LOI CANADIENNE ANTI-POURRIEL


CHOIX DE PUB

10

CADRE JURIDIQUE CONCERNANT LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – (Fédéral ++)

• La Loi sur la protection des renseignements personnels dans le secteur privé (Québec)

• Personal Information Protection Act (Alberta) • Personal Information Protection Act (Colombie-

Britannique)

* * * •  La Loi canadienne anti-pourriel (LCAP)

1

11

Voici quelques principes clés: 1. DÉTERMINATION DES FINS DE LA COLLECTE DE

RENSEIGNEMENTS o  Les fins auxquelles des renseignements personnels sont recueillis

doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.

2. CONSENTEMENT o  Toute personne doit être informée de toute collecte, utilisation ou

communication de renseignements personnels qui la concernent et y consentir, sauf exception prévue par la loi

3. LIMITATION DE LA COLLECTE o  L’organisation ne peut recueillir que les renseignements personnels

nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

CADRE JURIDIQUE – 10 PRINCIPES 1

12

•  Quand vous songez aux « Mégadonnées » (Big Data), qui commence à voir un problème?!

•  Et … les témoins (Cookies)? • On va y revenir…

4. LIMITATION DE L’UTILISATION, DE LA COMMUNICATION ET DE LA CONSERVATION o  Les renseignements personnels ne doivent pas être utilisés ou

communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.

5. TRANSPARENCE o  Une organisation doit faire en sorte que des renseignements

précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne

CADRE JURIDIQUE – 10 PRINCIPES 1

13

UE.

USA

CANADA

« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER**

LA VIE PRIVÉE DU POINT DE VUE MARKETING 1

PUSH PULL

LES JOUEURS EN PLACE

1.  http://youradchoices.ca/fr/ 2.  http://

www.youronlinechoices.com/uk/your-ad-choices

3.  http://www.iabeurope.eu/policy/oba-and-self-regulation

4.  http://www.crtc.gc.ca/fra/lcap-casl.htm

5.  http://www.w3.org/TR/tracking-dnt/

6.  http://www.edaa.eu 7.  http://www.youradchoices.com

UE.

USA

CANADA

DNT

Protection of personal data

Privacy Act

14


« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER** LA VIE PRIVÉE DU POINT DE VUE MARKETING – VUE GLOBALE 1

l’Alliance de la publicité numérique du Canada (DAAC)

La stratégie “Pull” consiste à attirer un consommateur

spécifique vers un produit ou un service.

La stratégie " Push " vise à pousser le produit vers le

consommateur



PUSH PULL

PUBLICITÉ COMPORTEMENTALE

RECIBLAGE PUBLICITÉ CIBLÉE TÉMOINS

(COOKIES) STRATÉGIE

COURRIEL & SMS ENVIRONNEMENTS

PERSONNALISÉS NOTIFICATION CENTRE

DE PRÉFÉRENCES

CHOIX DE PUB (AD.CHOICES) LCAP (CASL)

MARKETING

Pratique

Plateformes Processus 15

CAS D’ÉTUDE : LES MÉDIAS SOCIAUX

•  La décision « Facebook » •  La décision « Google Buzz »

VUE GLOBALE 1

16

CHOIX DE PUB (AD CHOICE)

PUSH MARKETING

2014

COOKIES & DMP – JE CONNAIS VOTRE INTENTION !

VUE GLOBALE


18

VUE GLOBALE


VRAI

L’icône ci-dessous est le symbole international du programme Choix de pub (Adchoices) ?

19

CHOIX DE PUB (ADCHOICES) LES COOKIES

2

https://www.youtube.com/watch?feature=player_embedded&v=oyJDkxkPc74

20

VIDÉO LES COOKIES

2

http://vimeo.com/82084441

21

HISTOIRE LES COOKIES 2

•  http://en.wikipedia.org/wiki/HTTP_cookie •  http://www.nczonline.net/blog/2009/05/05/http-cookies-explained/ •  http://fr.wikipedia.org/wiki/Lou_Montulli •  http://www.opentracker.net/article/third-party-cookies-vs-first-party-cookies •  http://www.jsmadeeasy.com/javascripts/Cookies/Number%20Of%20Visits/index.htm

Un cookie (ou témoin de connexion, abrégé en témoin au Québec) est l'équivalent d'un petit fichier texte stocké sur l'ordinateur de l'internaute. Existants depuis plus de 20 ans, ils permettent aux développeurs de sites Internet de conserver des données utilisateur afin de faciliter leur navigation et de permettre certaines fonctionnalités.

Lou Montulli (né en 1971) est un informaticien américain. •  Il est le créateur du navigateur Lynx, •  l'inventeur de la balise blink, •  et de l'utilisation des cookies au niveau des navigateurs. Il a écrit la spécification pour le premier browser à utiliser ce concept. Il avait appelé à l'origine cette technique « persistent client state object », mais le nom est devenu « magic cookie » puis simplement «cookie ».

L’objectif crée une mémoire pour le browser - http://curl.haxx.se/rfc/cookie_spec.html

22

SITE WEB

LA NOTION DE COOKIES TIERS (3rd) VS. VOTRE COOKIES (1st) LES COOKIES 2

23

VOTRE COOKIE : •  1st Party Cookie •  Cookie rattaché à votre nom de domaine •  Utiliser pour supporter votre expérience

usager

COOKIE TIERS : •  3rd Party Cookie •  Cookie rattaché à des partenaires qui vous

supporte dans un service particulier : •  Publicité. •  Analytiques •  Optimisation

3rd

1st

1st Party vs 3rd Party – Chez moi ou chez le partenaire LES COOKIES 2

http://blog.isocket.com/2013/09/the-difference-between-first-and-third-party-data/ http://www.aboutads.info/resource/download/OBA%20Self-Reg%20Implementation%20Guide%20-%20First%20Party%20Responsibilities.pdf http://www.aboutads.info/resource/download/OBA%20Self-Reg%20Implementation%20Guide%20-%20Third%20Party%20Responsibilities.pdf http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/ 24


http://blog.isocket.com/2013/09/the-difference-between-first-and-third-party-data/ http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/ 25

http://tv.adobe.com/watch/adobe-summit-2014/orienteering-101-navigating-your-business-through-the-privacy-fog/

IL FAUDRA REPENSER LES MARQUES DU POINT DE VUE DE LA VIE PRIVÉE

LES COOKIES 2

26


IL FAUDRA REPENSER LES MARQUES DU POINT DE VUE DE LA VIE PRIVÉE

LES COOKIES 2

27



28

COMPRENDRE L’ÉCOSYSTÈME PLATEFORMES 2

29

ATELIERS LES OUTILS 2

https://disconnect.me/ https://www.ghostery.com/fr/

31

FOURNISSEURS DE SERVICES

http://google.fr MEILLEURES PRATIQUES

2

http://www.google.fr/intl/fr/policies/technologies/ads/ 32

http://uk.reuters.com MEILLEURES PRATIQUES

2

33

http://bing.fr MEILLEURES PRATIQUES

2

http://www.microsoft.com/privacystatement/en-us/bing/default.aspx

http://www.yellowpages.com MEILLEURES PRATIQUES 2

35

http://www.nbc.com MEILLEURES PRATIQUES 2

36

VOTRE EMPLACEMENT (LOCALISATION) AGIT COMME COOKIE MOBILE

2

https://www.youtube.com/watch?v=XqG1EoKXBk0&list=PLj1MyDu3jckoGogq9dv-WzHjM8yP66pem 37

•  La décision Apple •  La décision PositiveSingles.ca •  Le cadre juridique européen concernant les

témoins / « cookies » (consentement exprès)

VOTRE EMPLACEMENT (LOCATION) AGIT COMME COOKIE MOBILE 2

38

PAUSE

2014

15 MIN.

39

LCAP – PULL MARKETING

2014

LE CENTRE DE PRÉFÉRENCE – JE VOUS CONNAIS !

40

LA LOI CANADIENNE ANTI-POURRIEL

(LCAP)

41

LE CADRE JURIDIQUE

•  La loi canadienne anti-pourriel, ou « LCAP », est entrée en vigueur le 1er juillet 2014

• C’est la loi anti-pourriel la plus rigoureuse du monde

•  Les infractions peuvent entraîner des amendes allant jusqu’à 10 millions $

LOI CANADIENNE ANTI-POURRIEL

42

CASL - LCAP 2

•  Les dispositions anti-pourriels s’appliquent à tout message lorsqu’un système informatique situé « au Canada est utilisé pour envoyer ou récupérer le message électronique » (art. 12(1))

•  L’exception anti-pourriel Règlement IC 3(f): «si la personne qui l'envoie, le fait envoyer ou en permet l'envoi a des motifs raisonnables de croire qu'il sera récupéré situé dans un État étranger mentionné à l'annexe et qu'il sera conforme à une loi de cet État régissant les comportements essentiellement similaires à ceux interdits par l'article 6 de la Loi »

43 43

CASL - LCAP PORTÉE TERRITORIALE 2

•  Adresses IP et réseaux sociaux ? •  REIR:

–  « Des intervenants ont également soulevé la préoccupation selon laquelle certains ont compris que les adresses électroniques dans la LCAP comprenaient les adresses de protocole Internet (IP). Pour autant que les adresses IP ne soient pas liées à une personne ou à un compte identifiable, les adresses IP ne sont pas des adresses électroniques aux fins de la LCAP. Par conséquent, les bannières publicitaires sur les sites Web ne relèvent pas de la LCAP. »

44 44

CASL - LCAP QUELS SYSTÈMES DE MESSAGERIE SONT VISÉS ? 3

QUELS SYSTÈMES DE MESSAGERIE SONT VISÉS?

Exemptions pour : •  Systèmes de messagerie fermés : Règlement IC art. 3(d) « envoyé

et reçu par l'entremise d'un service de messagerie électronique, si les renseignements et le mécanisme d'exclusion requis en application du paragraphe 6(2) de la Loi sont publiés de façon à être visibles et facilement accessibles sur l'interface utilisateur au moyen de laquelle le message sera récupéré et que la personne à qui le message est envoyé a consenti expressément ou tacitement à le recevoir »

•  Portails de commerce électronique : Règlement IC art. 3(e) «

envoyé à un compte sécuritaire et confidentiel à accès restreint, auquel les messages ne peuvent être envoyés que par la personne qui a fourni le compte à la personne qui reçoit le message »

45

CASL - LCAP 2

QUELS SONT LES PRINCIPES DE BASE ?

•  La LCAP énonce une interdiction générale de transmettre un message électronique commercial ( MEC ) à une adresse électronique, sauf si : 1.  Le destinataire consent à le recevoir; et 2.  Le message comporte certains renseignements

réglementaires qui identifient l’expéditeur; et

3.  Le message comporte un mécanisme d’exclusion

•  Il y a bien entendu des exemptions dont nous parlerons bientôt

46

CASL - LCAP 2

QU’EST-CE QU’UN MEC ?

Trois critères sont nécessaires pour constituer un MEC :

1. Message électronique (un message envoyé par courriel, texto, messagerie instantanée, etc.)

….. envoyé à une …… 2.  Adresse électronique (une adresse courriel ou un

texto, mais pas une adresse IP d’un site web ou d’une page Facebook)

….. et qui est …… 3.  Commercial (tout ce qui « a pour but … d’encourager

la participation à une activité commerciale », notamment qui comporte une offre d’achat, de vente, de troc ou de louage d’un produit, bien, service, offre une possibilité d’affaires, d’investissement ou de jeu, annonce ou fait la promotion de ces activités)

CASL - LCAP 2

EXCLUSIONS – CERTAINS MECS PEUVENT ÊTRE ENVOYÉS SANS CONSENTEMENT :

•  Entre des personnes qui ont des liens personnels ou familiaux •  Messages envoyés à une personne qui exerce des activités commerciales

et qui constituent uniquement une demande — notamment une demande de renseignements — portant sur ces activités

•  En réponse à une demande, à une demande de renseignements ou à une plainte, ou autre sollicitation du correspondant

•  En réponse à des questions juridiques, notamment pour informer que nous allons faire prévaloir un de nos droits

•  Message envoyé par des employés ou représentants de ABC Inc à des employés ou représentants de ABC Inc. qui concerne les activités de ABC Inc. (intra-entreprise)

•  Par un employé de ABC Inc à un employé ou représentant d’une autre entreprise, si ces entreprises ont une relation et si le message concerne les activités de l’entreprise destinataire (« B2B »)

48

CASL - LCAP 2

NOTE AU SUJET DES RECOMMANDATIONS:

•  Vous n’avez pas besoin d’obtenir le consentement à l’envoi du premier MEC que vous envoyez à une personne si cette personne vous a été recommandée par une personne qui a une relation commerciale ou un lien familial avec cette personne

•  Exemple : Votre ami Jim vous dit qu’il a un client, Tom, qui cherche des nouveaux téléphones XYZ. Vous n’avez pas besoin du consentement de Tom pour lui envoyer un courriel en ces termes : « Bonjour Tom, je m’appelle Bob. Je suis un ami de Jim. Je vous écris parce que Jim m’a dit que vous cherchiez des nouveaux téléphones XYZ et que je devrais vous appeler ».

49

CASL - LCAP 2

CONSENTEMENT TACITE

Si vous avez le consentement tacite, vous pouvez envoyer un MEC Le consentement est tacite lorsque :

–  Vous avez des relations d’affaires en cours – c.-à-d. qu’au cours des deux ans précédant la date d’envoi du MEC, le destinataire a eu une relation d’affaires avec l’expéditeur (achat ou louage de produit, de service, les parties avaient un contrat écrit, etc.), ou encore, l’expéditeur a reçu une demande de renseignements relative aux affaires de la part du destinataire au cours des six mois précédant la date d’envoi du message;

–  Le destinataire a publié bien en vue son adresse électronique (cartes d’affaires, sites web de sa compagnie, publications de l’industrie, etc.);

–  Le destinataire a communiqué son adresse électronique à l’expéditeur (lui a fourni sa carte d’affaires) si le message a un lien avec l’exercice des attributions de la personne;

50

CASL - LCAP 2

CONSENTEMENT EXPRÈS

•  Le consentement exprès est obligatoire, sauf si la loi prévoit une situation de consentement tacite ou si le MEC fait l’objet d’une exemption

•  La preuve du consentement incombe à l’expéditeur

•  Si nous demandons effectivement le consentement exprès d’un destinataire, nous devons indiquer le but pour lequel nous sollicitons son consentement (« Nous avons besoin de votre consentement pour vous envoyer ces courriels publicitaires »)

51

CASL - LCAP 2

OBTENIR UN CONSENTEMENT LCAP SÉPARÉMENT

52

CASL - LCAP 2

Et qu’en est-il des renseignements réglementaires? et des mécanismes d’exclusion ?

•  Il faut préparer une note de bas de page standard qui figurera sur tous les courriels et comprendra les renseignements réglementaires identifiant la personne qui sollicite le consentement (identification, coordonnées)

•  On doit inclure un mécanisme d’exclusion sans frais. On doit offrir deux méthodes pouvant «s’exécuter facilement»

•  Si un destinataire ne souhaite pas recevoir vos courriels, il faut y donner suite dans les 10 jours suivant sa demande.

53

2

McCarthy Tétrault LLP / mccarthy.ca

GUIDE DU CRTC

54

CASL - LCAP 2

McCarthy Tétrault LLP / mccarthy.ca

GUIDE DU CRTC

55

CASL - LCAP 2

DÉFENSE PAR DILIGENCE RAISONNABLE

• Une personne ne peut être reconnue coupable d’une infraction si elle peut prouver qu’elle a fait l’exercice d’une diligence raisonnable pour prévenir de commettre l’infraction

•  Former une équipe •  Se renseigner au sujet de la loi •  Effectuer l’évaluation des écarts •  Effectuer une analyse des risques •  Développer un plan d’action •  Modifier ses pratiques et procédures •  Élaborer et mettre en œuvre son plan d’action •  Documentation

56

CASL - LCAP 2

CASL - LCAP


http://www.crtc.gc.ca/fra/com500/faq500.htm 57

CASL - LCAP


Quelles sont les pénalités imposées pour violation en vertu de la LCAP?

http://www.crtc.gc.ca/fra/com500/faq500.htm

1.  Pour un particulier, 1 million de dollars et pour une entreprise, 10 millions de dollars;

2.  Pour un particulier, 2 millions de dollars et pour une entreprise, 20 millions de dollars;

3.  Pour un particulier, 500 000 de dollars et pour une entreprise, 1 million de dollars;

58

CASL - LCAP


http://www.crtc.gc.ca/fra/com500/faq500.htm 59

CASL - LCAP


VRAI

http://www.crtc.gc.ca/fra/com500/faq500.htm

Il y a trois exigences générales à remplir pour pouvoir envoyer un MEC à une adresse électronique. Vous devez : 1.  Avoir obtenu un consentement 2.  Fournir des renseignements d'identification et 3.  Fournir un mécanisme d'exclusion.

60

LES CENTRES DE PRÉFÉRENCES – (OPT-IN & OPT-OUT) LCAP 2

61

LES CENTRES DE PRÉFÉRENCES – (OPT-IN & OPT-OUT) LCAP 2

62

CADRE DE GESTION: LES 3Ps

2014

LA PRATIQUE – LE PROCESSUS – LES PLATEFORMES

UN CADRE DE GESTION LES 3 Ps

3

64

•  Avons-nous une équipe et un plan pour la pratique de la vie privée ?

•  Avons-nous regroupé les intérêts d’affaires, légaux et techniques ?

•  Qui sont les spécialistes techniques, légaux et opérationnels ?

•  Avons-nous un plan de communication ? •  Avons-nous un plan de formation ? •  C’est qui le responsable de la confidentialité ?

(Chief Privacy Officer)


3

65


3

•  Comment suivons-nous, implantons-nous & gérons-nous les éléments de la vie privée ?

•  Comment allons-nous supporter nos clients et usagers ?

•  Qui est responsable de ces opérations ?

66


3

•  Quelles sont les plateformes à utiliser et à mettre en place?

•  Interface utilisateur (UI) et Système de gestion (back end & front end)?

67

LES PROCHAINS CHANTIERS

2014

LCAP II – BIG DATA – CLOUD - INNOVATIONS

68

CAS D’ÉTUDE : LES MÉGADONNÉES / « BIG DATA »

• Rapport US FTC sur les mégadonnées • Application des cinq principes de

protection des renseignements personnels • Un défi à la logique même du cadre légal

existant en matière de protection des renseignements personnels

• Autres modèles / options?

69

4


« DO WHAT YOU SAY, SAY WHAT YOU DO » ADOBE CHIEF PRIVACY OFFICER** LA VIE PRIVÉE DU POINT DE VUE MARKETING – VUE GLOBALE 4

l’Alliance de la publicité numérique du Canada (DAAC)

La stratégie “Pull” consiste à attirer un consommateur

spécifique vers un produit ou un service.

La stratégie " Push " vise à pousser le produit vers le

consommateur



PUSH PULL

PUBLICITÉ COMPORTEMENTALE

RECIBLAGE PUBLICITÉ CIBLÉE TÉMOINS

(COOKIES) STRATÉGIE

COURRIEL & SMS ENVIRONNEMENTS

PERSONNALISÉS NOTIFICATION CENTRE

DE PRÉFÉRENCES

CHOIX DE PUB (AD.CHOICES) LCAP (CASL)

MARKETING

Pratique

Plateformes Processus 71

CONFIDENTIALITÉ DES DONNÉES : COMMENT VOUS ASSURER DE LA LÉGALITÉ DE VOS ACTIONS MARKETING ?

VOS COMMENTAIRES & QUESTIONS

72

Charles Morgan Mohamed Kahlain [email protected] [email protected] Tél. : (514) 397-4230 Tél. : (514) 392-9953 @mkahlain

Conférence Confidentialité des données

Marketing

Transcript of Conférence Confidentialité des données