Protection et confidentialité des données : comprendre l'essentiel

Digital Intelligence SolutionsDigital Intelligence Solutions

PROTECTION ET CONFIDENTIALITÉ DES DONNÉESCOMPRENDRE L’ESSENTIEL, DE LA MISE EN CONFORMITÉ AUX QUESTIONS D’ÉTHIQUE

Aurélie Pols et Samia Abara, 7 juin 2016

Digital Intelligence Solutions

PROGRAMME

› Introduction› La protection des données dans l'actualité› Les bases de la protection des données› Les frictions génératrices d'opportunités › Un outil utile à votre entreprise› FOCUS : Mise en conformité CNIL

› Q&R


INTRODUCTION


PROTECTION DES DONNÉES : VOTRE ÉQUIPE D‘EXPERTS

Samia Abara-BaslyEvangéliste ProduitAT Internet

Aurélie PolsExperte internationale en protection des données

Avec plus de 9 ans d’expérience en Digital Analytics, Samia accompagne les grands comptes AT Internet (Vente privée, Rue du commerce, Carrefour, etc.) dans la collecte et l’exploitation de leurs données. Elle est aujourd'hui Evangéliste Produit pour l'ensemble des solutions AT Internet.

Aurélie Pols élabore des bonnes pratiques en matière de protection des données : elle documente les flux de données afin de limiter les revers liés aux défaillances de protection des données et minimise les risques relatifs à l'augmentation continue des utilisations de données tout en œuvrant pour leur qualité. Elle a récemment rejoint la société leader DMP Krux Digital Inc. en tant qu'avocate spécialisée dans la gouvernance et la protection des données.


AT INTERNET ET LA PROTECTION DES DONNÉES

› Elles foisonnent de toutes parts. Nos vies sont toujours plus numériques.

› Nous comprenons le besoin de convertir les données pertinentes en opportunités commerciales...

› ...mais nous sommes aussi conscients de la nécessité absolue de respecter la vie privée des utilisateurs.

› Un acteur indépendant avec des racines européennes Nous sommes intraitables en matière de protection

de la vie privée.

› Laissez-vous conseiller par un expert pour savoir comment envisager et aborder la protection des données.

LES DONNÉES FONT BATTRE LE CŒUR DE NOTRE ACTIVITÉ


Publicité digitale et ciblage En matière de publicité, Internet dépasse la télévision avec un incroyable budget annuel de 36,2 Mds€

Volume de DONNÉES

2,5 quintillions de bytes de données sont générés chaque jour

Consommateur connecté en permanence 3 appareils connectés par personne

en 2014 9 h 53 m : temps moyen que les adultes américains passent chaque jour devant des écrans connectés Sources : IAB (2016), IBM (2014), Statistica (E.-U., 2014), eMarketer (E.-U., 2015)

PROTECTION DES DONNÉESLA NOUVELLE ÈRE


Les révélations scandaleuses d'Edward Snowden

ont exacerbé le besoin de transparence et de

protection des données en matière de vie privée.

PROTECTION DES DONNÉESLA NOUVELLE ÈRE

L'APD française (la CNIL) recommande AT INTERNET pour sa conformité aux règlements sur les cookies



PROTECTION DES DONNÉESLE PARADOXE

65 % des consommateurs doutent de la sécurité de leurs données personnelles.

67 % sont prêts à partager des données personnelles en échange de services supplémentaires.

Source : Accenture


LA PROTECTION DES DONNÉES DANS L'ACTUALITÉVOUS N'ÊTES PAS AU BOUT DE VOS SURPRISES !


EXEMPLES DE L'ACTUALITÉ MONDIALE DE LA PROTECTION DES DONNÉESAVEC DES CONSÉQUENCES PLUS OU MOINS FORTES

› Vous souvenez-vous d'Ashley Madison et de la fuite des données ?› Les données en cause sont jugées irrecevables par le tribunal. De qui se moque la justice ?

› Où en est la législation internationale en matière de protection des données ?› Pensez-vous que l'ONU ait un rôle à jouer ?

› Estimez-vous qu'un examen devrait être considéré comme une donnée personnelle ?› La Cour européenne de justice doit en décider, soulevant aussi la problématique de la propriété des

données...

› Pensez-vous que bloquer les AdBlockers est illégal, en vertu de la (2e révision) de la directive vie privée et communications électroniques (ePrivacy) ?› Apparemment, la Commission européenne le pense...


RÈGLEMENTS PASSÉS ET À VENIR EN MATIÈRE DE PROTECTION DES DONNÉES

LÉGISLATION EUROPÉENNE EN PLACE

SafeHarborpour les transferts internationaux de données personnelles

Directive européenne sur la protection des données (95/46/EC)règlemente les données personnelles au sein de l'UE

Directive européenne ePrivacy* sur la vie privée et les communications électroniques – au menu, les cookies !

* (2006/24/EC et 2009/136/EC modifiant la directive 2002/58/EC)

FUTURE LÉGISLATION EUROPÉENNE

PrivacyShieldsuffisamment efficace ?

Le règlement général européen sur la protection des données (RGPD) renforce et unifie la protection des données des citoyens européens

Révision de la directive vie privée et communications électroniques (ePrivacy) Réglementation ? Confidentialité de toutes les communications (Skype, WhatsApp, …) + renforcement des règles de consentement ?

25 mai 2018


LES BASES DE LA PROTECTION DES DONNÉESS'ACCORDER SUR LA DÉFINITION DES ENJEUX


LES ACTEURS DE LA PROTECTION DES DONNÉESQUELLE EST VOTRE PLACE DANS L'ÉCOSYSTÈME DES DONNÉES ? QUEL EST VOTRE RÔLE ?

ÉCOSYSTÈMEDES

DONNÉES


PRINCIPES FONDAMENTAUX DE LA PROTECTION DES DONNÉESÉ-Q-U-I-L-I-B-R-E : IMBRICATION CONTRACTUELLE ET FONCTIONNELLE DES RESPONSABILITÉS

› Si la solution est simple et juste, pourquoi ne pas l'adopter ?› Tous les autres suivront…


PRÉVENIR D'ÉVENTUELS PRÉJUDICES

› Législation relative au cyberstalking (cyber-harcèlement)› Tous les états ne sont pas logés à la même enseigne, comme pour le RGPD

› Législation relative au cyberbullying (cyber-intimidation)› Éducation ? Responsabilité parentale

› Responsabilités relatives à la protection et à la sécurité des données pour éviter l'usurpation d'identité

› Discrimination dans le ciblage comportemental“ Les associations antichoix ont recours à la surveillance des smartphones pour cibler les femmes qui envisagent l'avortement pendant leurs visites médicales ”

› Uber et non-employés => économies

› Plateformes : capital vs. emploi

COMMENT L'UTILISATION DES DONNÉES PEUT INFLUENCER LA VIE PRIVÉE DES PERSONNES

https://rewire.news/article/2016/05/25/anti-choice-groups-deploy-smartphone-surveillance-target-abortion-minded-women-clinic-visits/

https://rewire.news/article/2016/05/25/anti-choice-groups-deploy-smartphone-surveillance-target-abortion-minded-women-clinic-visits/


LES DONNÉES TRANSFORMENT PROFONDÉMENT NOS VIES

LA PRÉSERVATION DE LA DIGNITÉ HUMAINE EST EN JEU


LES FRICTIONS GÉNÉRATRICES D'OPPORTUNITÉSN'ESSAYEZ PAS DE DÉFINIR LES DONNÉES PERSONNELLES IDENTIFIABLES (PII) NI LES DONNÉES PERSONNELLES


LA LÉGISLATION SUR LA PROTECTION DE LA VIE PRIVÉE DANS LE MONDELES DONNÉES PERSONNELLES IDENTIFIABLES (PII) AMÉRICAINES CONTRE LES DONNÉES PERSONNELLES EUROPÉENNES


TYPES DE DONNÉES ET LÉGISLATION : LES OBLIGATIONS VARIENT

Règlement général de protection des données(RGDP) – 25 mai 2018


POINTS DE TENSION ENTRE LES PII (US) ET LES DONNÉES PERSONNELLES (UE)

Données personnelles identifiables (PII) Données personnelles

1. Nom, tels que les noms complets, nom de jeune fille, nom de jeune fille de la mère ou alias ;

2. Numéros d'identification personnels : n° de sécurité sociale (INSEE), n° de passeport, n° de permis de conduire, n° de compte et de carte de crédit.

3. Adresse : adresse postale ou électronique ;4. Information matérielle : protocole internet (IP) ou

adresse physique (MAC) ;5. Numéro de téléphone (portable, professionnel et

privé). Information identifiant des biens personnels (n° d'immatriculation du véhicule ou n° de titre et informations connexes).

“ Constitue une donnée à caractère personnel toute information relative à une personne ou une personne physique identifiable (“ personne concernée ”) ; constitue une personne identifiable, une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques qui sont propres à son identité physique, psychique, économique, culturelle ou sociale ”

Définition généralement utilisée par la majorité des États américains Directive 95/46/CE, directive de protection des données


LA DÉSIDENTIFICATION EST UN EXERCICE DE CONFORMITÉ

Extrait de Shades of Grey : Seeing the full spectrum of Practical Data De-Identification by Jules Polonetsky, Omer Tene et Kelsey Finch,

1er avril 2016, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757709

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757709


L'IDENTIFICATION EST UNE QUESTION DE CONFIANCE

D’après le livre blanc Confidentialité et protection des données : comprendre les grands principes et garantir la conformité de vos activités Digital Analytics par Aurélie Pols pour AT Internet, mai 2016


ÉTHIQUE NUMÉRIQUE

› Au-delà de la conformité› Approche stratifiée pour les sociétés

exploitant les données› Promesse à vos clients : CONFIANCE› Strict minimum : Conformité !

ÉTHIQUEPROCÉDU

RELÉGISLATI

ON


A L’ATTENTION DE VOTRE ÉQUIPE RESPONSABLE DES DONNÉES

Je me souviendrai que les données ne représentent pas seulement des chiffres mais bien de réelles personnes physiques à qui mon travail pourrait faire du

tort ;

Je traiterai les données permettant d'identifier des personnes avec la plus grande précaution, dans le respect de leur dignité, l'absence de discrimination et

l'application de bonnes pratiques de sécurité ;

Je ne ferai rien à des données personnelles que je puisse trouver inacceptable pour des données relatives à ma famille, à mes amis, aux êtres qui me sont chers ou à

moi-même ;

Je comprends que les données personnelles, les PII et les données sensibles dépendent de leur contexte et sont souvent difficiles à identifier. En cas

de doute, je demanderai de l'aide ou solliciterai mes supérieurs afin de prendre les mesures opportunes ;

Je comprends que les données à caractère personnel doivent transiter sans perdre leur finalité initiale (la raison de leur existence) ni leurs mécanismes

de consentement respectifs ;

a) Je n'utiliserai jamais de données sans connaître leur origine, leur finalité et leurs mécanismes de consentement (cf. Quién es la Última Principle) ;

b) Je ne vendrai jamais de données à caractère personnel sans consentement préalable ;

c) Si je vends des données consenties, elles seront associées à leur finalité. Il revient à l'acheteur de définir si les utilisations des données subséquentes sont conformes.

Je comprends que le consentement puisse être révoqué et le droit à l'oubli (la suppression) puisse être revendiqué, démarche qu'il faudra respecter ;

J'adapterai les protocoles de sécurité en fonction du degré de sensibilité des données (personnelles et sensibles) ;

J'assurerai le suivi et la documentation des données utilisées afin de minimiser les risques encourus lors de leurs utilisations.

ÉTHIQUE DE L'ANALYSTE

Digital Intelligence SolutionsSolutions de Digital Intelligence

DE LA CONFORMITÉ À L'UTILISATION ÉTHIQUE DES DONNÉES

LA SOLUTION : DÉPASSER LE STADE DE LA CONFORMITÉ

Éthique Avantages de la protection des données Risques Conformité


UN OUTIL UTILE À VOTRE ENTREPRISEEN ACCORD AVEC VOS CHOIX ÉTHIQUES RELATIFS AUX DONNÉES


DIGITAL ANALYTICS ET PROTECTION DES DONNÉES


DIGITAL ANALYTICS ET PROTECTION DES DONNÉES LES POINTS CRITIQUES

› Le Digital Analytics s’inscrit désormais dans un processus de Digital Intelligence car les décisions s'appuyant réellement sur les données ne peuvent être prises que sur la base d'une synchronisation guidée et avisée de données collectées.

› Il est fondamental de garantir que ces données collectées sont "propres" pour qu'elles soient correctement exploitables en totale conformité juridique.

› Dénicher un partenaire Digital Analytics fiable capable de trouver le juste équilibre entre les risques juridiques et les opportunités commerciales liées aux données peut s'avérer être un véritable défi.

› Les partenaires de cette transformation doivent...

› ÊTRE ENGAGÉS DANS LA PROTECTION DES DONNÉES en comprenant et en respectant les défis d'aujourd'hui mais aussi de demain en matière de protection des données.

› GARANTIR L'ÉVOLUTIVITÉ nécessaire pour trouver de nouveaux moyens efficaces de collaborer avec leurs clients et de les servir.

› ÊTRE RÉACTIFS, FIABLES ET TRANSPARENTS.

› ÊTRE INDÉPENDANTS dans le sens où ces données ne devraient pas constituer la source de revenus du fournisseur.

› GARANTIR LA PROPRIÉTÉ DES DONNÉES AUX CLIENTS qui devraient toujours conserver le contrôle total de toutes les données collectées.


AT INTERNET ET LA PROTECTION DES DONNÉES

› Les clients d'AT Internet profitent non seulement d'un support technique mais aussi d'un conseil spécialisé en matière de bonnes pratiques et de législation relatives à la protection des données.

› CNIL / EXEMPTION POUR CERTAINS COOKIES› En décembre 2013, la CNIL a publié une recommandation appelée la directive cookie.› Suite à sa publication, AT Internet et la CNIL ont négocié un accord permettant à AT Internet de proposer une solution de mesure d'audience exemptée et disponible en

France depuis 2015.› Un accord unique a été trouvé concernant l'exemption du consentement : les professionnels du marketing français sont dispensés d'obtenir le consentement des

utilisateurs lorsqu'ils recourent à la solution exemptée d'AT Internet.

› CERTIFICATION TÜV SAARLAND› Cette célèbre organisation de certification indépendante a décerné sa certification TÜV à AT Internet GmbH (la filiale allemande d'AT Internet), reconnaissant que les

procédures de collecte et de traitement de données associées à la solution d'AT Internet respectent les normes de protection et de sécurité des données.

› DONNÉES HÉBERGÉES EN EUROPE› Collecte et stockage dans ses propres serveurs en France.

UN MODÈLE DANS CE DOMAINE


MISE EN CONFORMITÉ CNILAT INTERNET – EXEMPTION DE CONSENTEMENT


COMMENT SE METTRE EN CONFORMITÉ ? RECOMMANDATION "COOKIES" DE LA CNIL

Deux solutions :

1. Utiliser un outil dispensé de consentement

2. Recueillir le consentement de l'internaute en cas d'utilisation d'outil non conforme

Source : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/outils-et-codes-sources/la-mesure-daudience/


1. EXEMPTION 2. HORS EXEMPTION

INFORMATION & RECOURS

MESURE

Bandeau : Demande de consentement pour la mesure d’audience.

Information des utilisateurs.

Opt out

Mesure et dépôt de cookie après consentement (scroll).


Opt out

Mesure & dépôt de cookie dès la première page.

MISE EN

CO

NFO

RM

ITE

A NOTER – EXHAUSTIVITE DE LA MESURE D’AUDIENCE SUR SITE

La solution de mesure exemptée offre une mesure exhaustive de la volumétrie sur site :- la mesure analytique s’effectue de la première à la dernière page visitée sur l’ensemble des parcours des internautes sur le site. - l’ensemble des analyses standards est accessible (Pages & contenus, navigation, devices, conversions, etc.). - La donnée analytique est accessible et exploitable au niveau individuel (anonyme). Des segments et cohortes peuvent être utilisés.


1. EXEMPTION 2. HORS EXEMPTION

INFORMATION & RECOURS

MESURE

Bandeau : Demande de consentement pour la mesure d’audience.


Opt out

Mesure et dépôt de cookie après consentement (scroll).

Durée du cookie 1st et 3rd : 13 mois.

IP : suppression après 6 mois.

Géolocalisation : échelle ville uniquement.

Durée de retention de la donnée détaillée: durée du contrat.

Portail : déduplication des visites sur plusieurs sites.


Opt out

Mesure & dépôt de cookie dès la première page.

Durée du cookie 1st et 3rd : 13 mois.

IP : anonymisée et suppression après 6 mois.

Géolocalisation : échelle ville uniquement.

Durée de retention de la donnée détaillée : 13 mois.

Portail : déduplication des visites sur plusieurs sites.

Absence de mesure avec dépôt de cookie, hors site.

Recoupement avec des données externes proscrit.

Données GPS : proscrites.

MISE EN

CO

NFO

RM

ITE


PROCESSBENEFICIER DE L’EXEMPTION

Informer l’internaute de la présence de cookies de mesure d’audience. Le message suivant peut être utilisé : « Afin de mieux vous servir et d’améliorer l’expérience utilisateur sur notre site, nous mesurons son audience grâce à une solution utilisant la technologie des cookies. Les données collectées permettent de fournir uniquement des données statistiques anonymes de fréquentation (le nombre de pages vues, le nombre de visites, leur fréquence de retour,...)».

Mettre en place l’option opt-out.

Respecter les consignes d’implémentation du marqueur AT Internet pour ne pas collecter des données externes au site et des données personnelles autre que l’adresse IP. Ces consignes sont présentes dans la documentation en ligne relative au marquage (guide de marquage).

Demander à AT Internet d’activer le paramétrage « exemption » anonymisation de l’adresse IP, durée de rétention des données détaillées n’excédant pas 13 mois, désactivation des modules proscrits par l’exemption). NB : Pour les clients existants disposant de l’option DataExplorer et en complément des éléments précédemment listés, un audit des données collectées jusqu’alors devra être réalisé afin de déterminer les actions spécifiques à mettre en place et le temps nécessaire à ces dernières (ex: purge des données, correction du marquage ).

Digital Intelligence SolutionsSolutions de Digital Intelligence


AT INTERNET ET LA PROTECTION DES DONNÉESUN MODÈLE DANS CE DOMAINE


LIVRE BLANC SUR LA PROTECTION DES DONNÉES

› Confidentialité et protection des données : comprendre les grands principes et garantir la conformité de vos activités Digital Analytics par Aurélie Pols pour AT Internet, Mai 2016

Dans ce livre blanc :

› Un process en 5 étapes pour limiter les risques liés aux données

› Les bonnes pratiques pour respecter les grands principes de protection des données

› Une checklist pour minimiser le risque des données de vos outils digitaux

› Le glossaire de la Protection des données


Aurelie [email protected]

Samia [email protected]

MERCI !

Protection et confidentialité des données : comprendre l'essentiel

Data & Analytics

Transcript of Protection et confidentialité des données : comprendre l'essentiel