Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

04/05/2023

Cybersecurity Insights

Régie publicitaire et protection des données personnelles

Selon le rapport d’activité 2021 de la CNIL, publié le 11 mai 2022, 89 des 135 mises en demeure prononcées par l’autorité de contrôle ont porté sur les cookies.

En plus de ces mises en demeure, la CNIL a prononcé des sanctions pour les cas les plus graves, notamment à l’égard des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.

La publicité ciblée présente de nombreux enjeux relatifs à la protection des données personnelles. D’une part il s’agit d’un domaine où, d’un point de vue business, une large collecte des données est nécessaire. D’autre part, ces acteurs doivent veiller à ce que ces traitements de données personnelles se réalisent dans des conditions optimales du point de vue de la protection des données personnelles.

 

La régie publicitaire, un des acteurs principaux dans le domaine de la publicité, est directement confrontée à ces enjeux.

 

Cet article a pour objet de présenter les enjeux liés à la protection des données personnelles auxquels les régies publicitaires sont confrontées, et de présenter un processus de mise en conformité pour répondre à ces enjeux.

 

La régie publicitaire a pour rôle de commercialiser des espaces publicitaires. Elle met en relation des annonceurs qui souhaitent diffuser des publicités et des entreprises de média qui mettent à disposition des espaces publicitaires afin de monétiser leur audience. Ainsi la régie publicitaire agit en tant qu’intermédiaire entre les annonceurs et des médias ou groupements de médias.

Les données personnelles dans tout ça ?

Dans le cadre des activités de la Régie publicitaire, cette dernière est amenée à effectuer des traitements de données personnelles, notamment dans les activités suivantes :

  • Gestion des cookies
  • Mesure d’audience
  • Newsletter et autres activités marketing
  • Activités de prospection commerciale
  • Gestion des requêtes publicitaires dans le cadre de la TV segmentée

A travers les divers traitements de données personnelles que la régie publicitaire est amenée à réaliser, de nombreux enjeux relatifs à la protection des données personnelles se présentent.

 

  • Gestion des cookies et validité du consentement
  • Respect du principe de minimisation de la collecte des données
  • Transferts de données personnelles hors Union européenne. Comment réaliser des transferts vers les Etats-Unis tout en étant conforme au RGPD ?
  • Validité du consentement dans le cadre des Newsletters et autres activités marketing
  • Utilisation d’outils conformes au RGPD, notamment pour les mesures d’audience (l’exemple de Google Analytics)
  • Conformité des activités de profilage aux fins de publicité ciblée en ligne
  • Data mining
  • Sécurité des données
  • Prospection commerciale.

Ces sujets feront l’objet de fiches pratiques, comprenant une présentation des enjeux en matière de protection des donnés personnelles ainsi que les points clés de conformité devant être traités.

 

La première fiche s’intéresse à la mesure d’audience et plus précisément à la transition vers un outil conforme au RGPD, avec l’exemple de Google Analytics. Vous pouvez la télécharger en cliquant ici.

Les risques de la non-conformité

En cas de non-conformité au RGPD constatée par la CNIL, au-delà du risque de faire l’objet d’une lourde sanction pécuniaire (jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé des deux étant retenu), la CNIL peut également limiter temporairement ou définitivement un traitement ou encore suspendre les flux de données.

 

Prenons l’exemple du traitement de newsletter marketing, dans lequel la case à cocher pour recevoir les newsletters est pré cochée et que d’autres manquements sont constatés. La CNIL pourrait, dans ce cas, limiter définitivement le traitement en demandant que les opt-in collectés durant le laps de temps de l’état de non-conformité au RGPD soient supprimés. Les conséquences d’une telle décision sont désastreuses et réduisent à néant le travail et les efforts réalisés par la régie publicitaire pour se constituer une base de données.

Le processus de mise en conformité.

Le processus de mise en conformité au RGPD s’établit sur un temps long et s’inscrit dans un processus continu.

 

La première étape du processus de mise en conformité, consiste à désigner les pilotes de cette mise en conformité. Il peut s’agir par exemple du DPO, du RSSI, de référents numériques ou encore de relais informatique et libertés. L’idéal théoriquement serait de constituer une équipe composée de plusieurs membres, et éventuellement désigner des référents métiers. Toutefois, cet idéal théorique n’est pas forcément la solution la plus adaptée à la réalité de l’entité. Ainsi, selon la taille de l’entité, son activité, et ses besoins en termes de conformité au RGPD, il conviendra de constituer une équipe, plus ou moins grande, qui se chargera de la conformité au RGPD.

 

La deuxième étape est fondamentale, et vous l’avez peut-être déjà réalisée, il s’agit de cartographier les traitements de données personnelles. Il s’agit d’identifier les traitements de données, les données traitées, les finalités de traitements ainsi que les éventuels risques pour les personnes concernées. En pratique, vous pouvez vous aider d’un outil, d’un tableau Excel, ou encore construire votre propre outil. L’idée est d’avoir une vision globale des traitements de données personnelles réalisés et d’identifier les chantiers de mise en conformité au RGPD. Par ailleurs, en réalisant cette étape, vous faites un pas de plus vers la conformité au RGPD en répondant à l’obligation de l’article 30 du RGPD.

 

Maintenant que vous avez une vision d’ensemble des traitements de données personnelles et que vous avez identifié les éventuels risques pour les personnes concernées, vous pouvez passer à la troisième étape qui consiste à établir un plan d’action. Le plan d’action doit être adapté à l’entité et aux besoins relatifs à la conformité au RGPD.

 

Une fois le plan d’action construit, il convient de le réaliser en documentant les actions menées. Afin de suivre l’avancée du plan d’action et d’identifier les éventuelles difficultés rencontrées, il convient de prévoir des évaluations du plan d’action avec les pilotes identifiés.

Maria IDJOUBAR

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

25 novembre 2024
Avec une souche éprouvée, des outils bien choisis et des cibles stratégiques, 8Base se distingue comme une menace particulièrement redoutable. […]
12 novembre 2024
L'IA est devenue un facilitateur de la conduite des affaires cybercriminelles. La résilience exigée au sein de diverses organisations pour […]
29 octobre 2024
L'usurpation d'identité vous effraie ? De l'arnaque corporate jusqu'aux manipulations à l'échelle globale, l'essor des deepakes incarnant des personnalités publiques […]
28 octobre 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a […]
22 octobre 2024
Les interfaces que vous utilisez chaque jour subissent de multiples assauts, et leur manipulation met en danger de nombreuses entreprises […]
2 octobre 2024
Le Moyen Orient attire tous les regards après l'attaque sur la chaine d'approvisionnement des bippers et de talkies-walkies. L'Iran, acteur […]
17 juillet 2024
CWATCH vous invite au travers de cet article à vous interroger sur l’écosystème d’attribution actuel et les impacts de celui-ci […]
26 juin 2024
À l'approche des Jeux olympiques de Paris, la communauté de la cybersécurité a déjà observé une augmentation des activités malveillantes.
20 juin 2024
Ce Cybersecurity Insights a pour but de naviguer entre l’intérêt, le fonctionnement et l’étendue du marché des scanners de vulnérabilités. 
10 juin 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a […]

Jour 6 | Selon vous, en moyenne combien de ransomware ont eu lieu par jour en 2023 dans le monde ?

  • Réponse 1 : 1 par jour

  • Réponse 2 : 100 par jour

  • Réponse 3 : 30 par jour

  • Réponse 4 : 12 par jour

Jour 5 | Challenge de stéganographie

Jour 4 | Concernant les accompagnements de la nouvelle qualification PACS de l’ANSSI, sur la portée Sécurité des Architectures, quels sont les domaines qui font partie du périmètre possible d’un accompagnement ?

  • Réponse 1 : la sécurité réseau, l’authentification, et l’administration du SI

  • Réponse 2 : la sécurité réseau, la sécurité système, et les mécanismes de chiffrement

  • Réponse 3 : l’administration du SI, le cloisonnement, les sauvegardes, et la stratégie de détection/réponse

  • Réponse 4 : tous ces sujets et plus encore

  • Laïus explicatif : Le référentiel PACS, sur la portée Sécurité des Architectures, porte bien sur tous les sujets liés de près ou de loin aux infrastructures du SI. La liste n’est pas exhaustive et est à adapter à chaque prestation d’accompagnement suivant le périmètre d’intervention. Dans le référentiel, l’ANSSI propose une liste de sujets à adresser dans un rapport PACS page 28 et 29.

    https://cyber.gouv.fr/sites/default/files/document/PACS_referentiel-exigences_v1.0.pdf

Jour 3 | Quel référentiel permet la certification de produits de sécurité ?

  • Réponse 1 : NIS2

  • Réponse 2 : Critères Communs

  • Réponse 3 : PASSI

  • Réponse 4 : ISO27001

Laïus explicatif : Le schéma Critères Communs est un ensemble de normes et méthodologies permettant de cadrer les moyens utilisés pour évaluer, de manière impartiale, la sécurité d’un produit de sécurité (logiciel ou matériel). Ce schéma est reconnu internationalement au travers de plusieurs accords (SOG-IS, CCRA et prochainement EUCC).

Le référentiel PASSI permet la qualification, par l’ANSSI, des prestataires d’audit de la sécurité des SI. ISO27001 est la norme décrivant les bonnes pratiques à suivre dans la mise en place d’un SMSI. Enfin, NIS2 est une directive visant à harmoniser et à renforcer la cybersécurité du marché européen.

Jour 2 | Quel est l’artefact forensique qui permet de prouver une exécution d’un programme sous Windows ?

  • Réponse 1 : JumpList

  • Réponse 2 : ShimCache

  • Réponse 3 : $MFT

  • Réponse 4 : Prefetch

Laïus explicatif : Le Prefetch est un artefact spécifique à Windows qui optimise le chargement des programmes. Lorsqu’un programme est exécuté pour la première fois, Windows crée un fichier dans le dossier C:\Windows\Prefetch, qui contient des informations sur le programme et les ressources qu’il a utilisées. Ces fichiers incluent également des horodatages correspondant à la première et aux dernières exécutions. L’existence d’un fichier Prefetch (.pf) pour un programme est une preuve solide qu’il a été exécuté. C’est l’un des artefacts forensiques les plus fiables pour prouver l’exécution d’un programme.

Jour 1 | Quel texte européen permettra qu’à partir de fin 2027, tous les produits vendus dans l’UE et comprenant des composants numériques seront exempts de vulnérabilités et maintenus pendant tout leur cycle de vie ? #DigitalTrust

  • Réponse 1 : Le Cyber Security Act
  • Réponse 2 : Le Cyber Resilience Act
  • Réponse 3 : La Directive REC
  • Réponse 4 : La Directive NIS2 

Laïus explicatif : Le Cyber Resilience Act, qui a été publié ces derniers jours au Journal Officiel de l’Union Européenne est entré en vigueur le 10 décembre 2024. A compter de cette date, les fabricants et éditeurs doivent adapter leur processus pour pouvoir continuer à vendre des produits au sein de l’UE après le 10/12/2027.

EU Cyber Resilience Act | Shaping Europe’s digital future